Ihre Kanzlei für neue Wege.
In Zukunft mit Sicherheit Cyberspace. E I N E P U B L I K AT I O N VO N S M A RT M E D I A
NOV ‘23
IT & SICHERHEIT
Alex Werkmann
»Vertrauen ist gut, Misstrauen ist besser!«
ONLINE- & PRÄSENZ-SCHULUNGEN
Lesen Sie mehr auf fokus.swiss
E I N E P U B L I K AT I O N VO N S M A RT M E D I A
2 EDITORIAL
FOKUS.SWISS
04
08
14
15
Hans-Wilhelm Dünn
S
Viele Unternehmen erkennen, dass die Prävention von Cyberangriffen langfristig als Wettbewerbsvorteil betrachtet werden kann und implementieren mit verhältnismäßig geringem Aufwand AwarenessSchulungen für ihre Mitarbeitenden oder grundlegende Sicherheitsmaßnahmen, die einen signifikanten Einfluss auf das Sicherheitsniveau ausüben. Spezialisierte Anbieter offerieren Managed Security Services und Beratungsleistungen, die insbesondere mittelständischen Unternehmen ohne eigene Sicherheitsabteilung zuverlässig Unterstützung bieten. Im Kampf gegen den Fachkräftemangel werden innovative Konzepte entwickelt, um dieses zukunftsweisende Thema angemessen zu adressieren. Dazu gehören beispielsweise Qualifizierungsmaßnahmen und die verstärkte Integration von Frauen in die IT-Sicherheitsbranche.
pätestens im kommenden Jahr wird sich das Verständnis von kritischer Infrastruktur (KRITIS) signifikant wandeln. Durch die Implementierung der NIS2Richtlinie (Network and Information Security) werden neben öffentlichen Einrichtungen auch Unternehmen aus der Privatwirtschaft in die KRITIS einbezogen, die bisher möglicherweise nicht geahnt haben, hiervon betroffen zu sein. Was damit einhergeht, sind verpflichtende Mindeststandards im Bereich Cybersicherheit, die ein einheitliches Schutzniveau in Europa gewährleisten sollen. Dazu gehören auch neue Anforderungen in der Cybersicherheit und das Melden von Sicherheitsvorfällen. Der Krieg in der Ukraine und die damit verbundene angespannte globale Sicherheitslage haben verdeutlicht, dass kritische Infrastrukturen längst Teil des Konflikts geworden sind. Staatlich unterstützte oder geduldete Hacker sowie international agierende kommerzielle Hackernetzwerke sind zentrale Akteure im Bereich der Cyberkriminalität, etwa durch Ransomware-Erpressungen. Die Notwendigkeit eines erhöhten Schutzniveaus wird durch die Zunahme von Cyberangriffen in Deutschland (2022: 27 Prozent Steigerung im Vergleich zum Vorjahr) und das damit verbundene Schadenspotenzial von 206 Milliarden Euro pro Jahr deutlich. Doch wie können Unternehmen diesen Herausforderungen und regulatorischen Anforderungen gerecht werden? Viele Wirtschaftsakteure stoßen bereits jetzt an ihre Grenzen, sei es finanziell durch Inflation und gestiegene Kosten oder personell durch den immer gravierenderen Fachkräftemangel.
Bild iStockphoto/da-kuk
Die KRITIS wächst: Neue Weichenstellung für Europas Cybersicherheit
Cybersicherheit ist eine gesamtgesellschaftliche Aufgabe, zu der jede:r Einzelne beitragen muss.
Diese Sonderbeilage widmet sich den Problemfeldern und entsprechenden Lösungsansätzen im Bereich der Cybersicherheit. Ich wünsche Ihnen eine inspirierende Lektüre und hoffe, dass Sie die richtigen Schlussfolgerungen für Ihren Verantwortungsbereich ziehen können. Cybersicherheit ist eine gesamtgesellschaftliche Aufgabe, zu der jede:r Einzelne beitragen muss. In einer Zeit, in der sich unsere Welt zunehmend digitalisiert und vernetzt, ist es unerlässlich, dass wir gemeinsam an der Stärkung unserer digitalen Sicherheit arbeiten, um sowohl unsere kritische Infrastruktur als auch unsere Wirtschaft und Gesellschaft vor den zunehmenden Bedrohungen durch Cyberangriffe zu schützen.
LESEN SIE MEHR. 04 06 07 08 12 14 15
Kritische Infrastrukturen Lieferkette Consulting Fachkräftemangel in Cybersicherheit Identitätsdiebstahl Mit »Programm P20« in die Zukunft Krisenmanagement
SMART IT & SICHERHEIT. VERLAG UND HERAUSGEBER (VERANTWORTLICH) PASCAL BUCK SMART MEDIA AGENCY GMBH C/O WKGT RECHTSANWALTGES. MBH GANGHOFERSTR. 31 80339 MÜNCHEN REDAKTION (VERANTWORTLICH) ADRIANA CLEMENTE SMART MEDIA AGENCY AG, GERBERGASSE 5, 8003 ZÜRICH, SCHWEIZ TEL +41 44 258 86 10 LAYOUT (VERANTWORTLICH) MATHIAS MANNER, SARA DAVAZ SMART MEDIA AGENCY AG, GERBERGASSE 5, 8003 ZÜRICH, SCHWEIZ TEL +41 44 258 86 02 PROJEKTLEITUNG & ANZEIGEN (VERANTWORTLICH) PAVEL RAY SMART MEDIA AGENCY AG, GERBERGASSE 5, 8003 ZÜRICH, SCHWEIZ TEL +41 44 258 86 25 TITELBILD ZVG DRUCK AXEL SPRINGER SE
Viel Spass beim Lesen! Text Hans-Wilhelm Dünn, Präsident Cyber-Sicherheitsrat Deutschland e.V.
Glücklicherweise gibt es positive Entwicklungen, die diesen Bedrohungen entgegenwirken.
Pavel Ray
Project Manager
BRANDREPORT • PCS SYSTEMTECHNIK GMBH
Zutrittskontrolle agil organisieren – verteilte Verantwortung macht ein Sicherheitssystem effizient
B
ei der Planung und Modernisierung von Gebäuden gehört die Einrichtung einer Zutrittskontrolle zum Standard. Statt herkömmlicher Schlüssel kommen heute Mitarbeiterausweise zum Einsatz, um Türen zu öffnen oder zu verschließen. Allerdings stellt sich oft die Frage: Wer ist eigentlich für die Verwaltung der Zutrittsrechte zuständig, und wer behält den Überblick über die in Umlauf befindlichen Ausweise?
Verlässt ein Mitarbeitender die Firma, sollte sein Zutrittsprofil gelöscht werden. Zuständigkeiten können sich ändern, wenn sich die Abteilungszugehörigkeit ändert. Nicht immer werden die Systemadministratoren proaktiv informiert. Diese Diskrepanz führt zu Fehlern in der Datenbasis. Ein Sicherheitssystem wird wasserdicht, wenn es aktiv gelebt und gepflegt wird. In modernen Cloudsystemen gestalten alle Verantwortlichen agil die Zutrittskontrolle für den Arbeitsalltag mit.
Das persönliche Dashboard als Einstiegsportal in die Zutrittskontrolle Als Basis dient eine webbasierte Software, über die jeder Kollege, jede Kollegin Zugang zu einem persönlichen Dashboard mit freigeschalteten Funktionen hat. So sieht der Wachdienst in seinem »Lageplan« alle aktiven Zutrittsgeräte und aufpoppende Alarme im Ereignisfall. An der Empfangstheke zeigt
das Dashboard alle angemeldeten Besucher des Tages an. Mit der Funktion »Anwesenheitstableau« können sich alle informieren, welche Kolleginnen und Kollegen aus ihrer Abteilung vor Ort oder auch welche Ersthelfer für den Notfall gerade anwesend sind.
Mitarbeitende übernehmen Initiative im Workflow Damit die Ersteinrichtung der Zutrittskontrolle möglichst einfach abläuft, übernimmt eine webbasierte Software die Basis-Zutrittsprofile aus der Organisationsstruktur des Unternehmens, um bereits eine erste Clusterung für das Sicherheitssystem zu erhalten. Später können die Teamverantwortlichen einzelne Zutrittsrechte individuell anpassen. Die Initiative dafür können die Mitarbeitenden selbst übernehmen. Im Workflow wird die Anfrage direkt an die Vorgesetzten zur
Genehmigung weitergeleitet. In diesem Fall besonders wichtig: eine Dokumentation aller Schritte, sodass jederzeit nachvollziehbar ist, wann und durch wen das Zutrittsrecht geändert wurde. Eine webbasierte Zutrittskontrolle verteilt die Verantwortung für die Sicherheit auf vielen Schultern. Weitere Informationen:
E I N E P U B L I K AT I O N VO N S M A RT M E D I A
#SMARTIT&SICHERHEIT
DGC AG • BRANDREPORT 3
»Es gibt nur eine echte Sicherheitslösung gegen Cyberangriffe: die kontinuierliche Analyse aller IT-Systeme« Matthias Nehls
Vorstand der DGC AG
H
ackerangriffe nehmen drastisch zu, gleichzeitig unterhalten Unternehmen immer komplexere IT- und Softwarestrukturen. Matthias Nehls, Vorstand der DGC AG, erläutert, warum eine kontinuierliche Überwachung aller Systeme und Schwachstellen immer wichtiger wird, um Erpressungen und Reputationsschäden vorzubeugen.
Herr Nehls, wie ist die gegenwärtige Cyberbedrohungslage in Deutschland? Unternehmen werden verstärkt angegriffen. Gleichzeitig stellen wir fest, dass viele betroffene Kunden nicht auf die Behörden zugehen. Sie fürchten die riesigen Reputationsschäden, wenn sie angegriffen wurden. Wir dagegen arbeiten aktiv und sehr vertraulich mit den Ermittlungsbehörden zusammen. Dass die Cyberattacken zunehmen, hat mit der komplexen Gemengelage zu tun. Es gibt immer mehr Hackergruppen, die geopolitische Lage ist schwierig – und natürlich ist die Erpressung von Unternehmen ein superlukratives Geschäft, um an Geld zu kommen. Laut dem aktuellen Hiscox Cyber Readiness Report ist die Zahl der angegriffenen Unternehmen in Deutschland von 46 Prozent im Jahr 2022 auf 58 Prozent im Jahr 2023 gestiegen. Diese Angriffe lassen sich also nicht mehr unter den Teppich kehren. Wieso nehmen Cyberangriffe zu? Unternehmen, die erpresst werden, bezahlen durchschnittlich eine Million Dollar Lösegeld. Und jedes siebte Unternehmen zahlt. Das Ganze ist also ein lukratives Geschäft. Auf der anderen Seite werden die IT-Systeme immer komplexer. Immer mehr Daten liegen auf Servern von Dienstleistern. Wenn Unternehmen über unser Security-Portal cyberscan.io den Sicherheitscheck machen und dann etliche zum Teil schwerwiegende Schwachstellen angezeigt bekommen, sagen sie immer: Aber das sind ja gar nicht unsere Daten. Die werden doch von einem Partner verwaltet. Man muss jedoch klipp und klar sagen: Daten lassen sich nicht delegieren. Unternehmen müssen dafür Sorge tragen, dass ihre Systeme und die Systeme ihrer Partnerunternehmen tagtäglich sicher sind.
Wie kann man sich gegen Angriffe wappnen? Wir müssen wieder eine bessere Übersicht über alle IT-Systeme erlangen. Ich vergleiche das gerne mit einem Heißluftballon, der von oben sieht, was unten eigentlich los ist. Mit der zunehmenden Schatten-IT, mit nicht richtig gewarteten Websites und Systemen haben viele Unternehmen aber längst die Übersicht über ihre eigene IT verloren. Unternehmen wissen nicht, welche Systeme überhaupt bei ihnen laufen, welche Versionen installiert sind oder wann Back-ups erfolgen. Dazu kommt, dass Software nur unzureichend aktualisiert wird. Viele Unternehmen bekommen ihre Websites von Agenturen gebastelt, die dann aber nicht mehr die Sicherheit kontrollieren. Und seit dem KI-Hype glauben viele, die perfekte Lösung gefunden zu haben. Das ist ein Trugschluss, der sehr teuer werden kann. Denn: KI allein kann keine Sicherheit garantieren. Menschen sehen noch immer mehr. Deswegen setzen wir auch auf Spezialisten, die Schwachstellen noch besser finden und schneller schließen können. Und wer sollte sich vor allem wappnen? Eigentlich sollte natürlich jeder besser und umfassender seine Systeme warten und entsprechend vorsichtig mit Daten umgehen. Was in vielen Unternehmen erstaunlich ist, ist der lasche Umgang mit der Zwei-Faktor-Authentifizierung. Während Enduser die praktisch überall benutzen, wird sie von vielen Administratoren überhaupt nicht genutzt. Gerade Admins müssten viel öfter ihre Zugangsdaten ändern. Das tun sie aber nicht. Ein weiterer wichtiger Punkt sind die Homeoffice-Zugänge. Nach der Corona-Pandemie lässt sich das Rad nicht zurückdrehen. Unternehmen sollten trotzdem sicherstellen, dass ihre Mitarbeitenden zu Hause beispielsweise ihre Fritz-Box auf dem neuesten Stand haben. Auch via Chats und sozialer Medien kommt es immer öfter zu Betrugsfällen, Datenklau und Erpressungsversuchen dank der persönlichen Transparenz, die Mitarbeitende freiwillig in den sozialen Medien schaffen. Das ist eine hervorragende Quelle für Social Engineering. Unternehmen müssen also bei der Abwehr von Cyberattacken alle Strukturen, auch von externen Dienstleistern, unter einen Hut bekommen und analysieren? Richtig. Das ist eine komplexe Aufgabe, der wir uns stellen. Wir versuchen, Klarheit in
diese komplexen Strukturen zu bekommen. Das Hauptproblem ist ja, dass die Cybersicherheit nicht greifbar ist. Man redet darüber, aber wie und wo diese Sicherheit hergestellt wird oder eben verwundbar ist, lässt sich für viele nicht greifen.
Datenlecks beim DFB oder bei Motel One. Es gibt Unternehmen, die einen solchen Gau mit der Veröffentlichung sämtlicher Zugangs- oder Kundendaten nicht verkraften. Man muss es deutlich sagen: Cybersecurity ist auch aktiver Markenschutz
Sie haben mit cyberscan.io ein eigenes Tool entwickelt. Wie funktioniert es? Wir scannen mit diesem Tool schnell jede eingegebene Infrastruktur. Und Sie sehen dann sofort, wo es leichte, mittlere oder erhebliche Sicherheitslücken gibt. Kundinnen
Ihr Tool hilft auch, Gefahren zu visualisieren. Das heißt, es trägt auch zum Verständnis von Cyberattacken bei? So ist es. Wir zeigen live und in Farbe, wo der Datenschutz nicht funktioniert oder die ITSecurity schlecht gegen Angriffe gerüstet ist. Wir bilden dabei bei internationalen Unternehmen auch die weltweite IT-Struktur ab. Unser Check zeigt häufig, dass Geld und neue Tools gebraucht werden, um die Sicherheit zu verbessern.
Nur eine kontinuierliche und ganzheitliche Überwachung aller Systeme garantiert Sicherheit.
und Kunden wundern sich oft, was wir alles lokalisieren und anzeigen können. Besonders Legacy-Systeme und deren Hardware haben ein extrem hohes Gefahrenpotenzial. Aber das ist typisch für Deutschland. Während junge Unternehmen natürlich nur die neuesten Systeme haben, gibt es beispielsweise in Stahlbauunternehmen über Jahrzehnte gewachsene Altsysteme, auf denen unglaublich alte Software läuft. Teilweise müssen da Mitarbeiter aus der Rente geholt werden, weil keiner weiß, wie die bedient werden.
Was ist die Besonderheit bei cyberscan.io? Sie erkennen als Unternehmen plötzlich, wie Infrastrukturen angegriffen werden können. Mitunter sehen Sie, wie leicht E-Mails und Passwörter zu entschlüsseln sind. Teilweise laufen auch Systeme, die schon 2002 installiert wurden und seitdem im Grunde nicht überprüft oder angepasst wurden. Selbst bei so prominenten Adressen wie bund.de haben wir rund 360 Schwachstellen identifiziert. Unser Tool macht auch klar, wie leicht ein Reputationsschaden entstehen kann. Denken Sie nur an die
Was empfehlen Sie Unternehmen hinsichtlich einer optimalen Absicherung? Nur eine kontinuierliche und ganzheitliche Überwachung aller Systeme garantiert Sicherheit. Wir wollen deshalb auch ein Bewusstsein für die Wichtigkeit der SecurityVerantwortlichen schaffen. Das sind eben nicht irgendwelche Nerds oder merkwürdigen Typen. Sie sind es, die für die zwingend notwendige Cybersicherheit in den Unternehmen sorgen. Im Grunde sind das die wahren Helden im Unternehmen. Und wir unterstützen sie mit unserer langjährigen Expertise geräuschlos im Hintergrund. Inwieweit spielen alle Mitarbeitenden eine Rolle, wenn es um die kontinuierliche Analyse und Abwehr von Cyberattacken geht? Natürlich müssen Mitarbeitende für die Gefahren von Cyberangriffen sensibilisiert werden, das ist gar keine Frage. Aber man muss auch sagen, dass Unternehmen ihre Sicherheitsprobleme nicht komplett auf die Mitarbeitenden abwälzen können. Die Mitarbeitenden sind sicher das schwächste Glied in der Abwehrkette, wenn es etwa um Social Engineering geht, um Daten, die mit anderen Leuten leichtfertig geteilt werden. Hier sind intensive Schulungen erforderlich. Aber der Überbau muss stimmen, er muss stark sein. Die einzig echte Sicherheitslösung ist die kontinuierliche Analyse und das entsprechende Updaten aller Systeme. Interview Rüdiger Schmidt-Sodingen
E I N E P U B L I K AT I O N VO N S M A RT M E D I A
4 KRITISCHE INFRASTRUKTUREN
FOKUS.SWISS
Wenns im Supermarkt-Büro piept Wenn statt nichtzahlender Kundschaft Hacker den Geschäftsbetrieb lahmlegen: Das IT-Sicherheitsgesetz fordert von den Betreibern Kritischer Infrastrukturen, kurz KRITIS, einen umfassenden Schutz gegen Cyberangriffe.
Dass es bei dem Gesetz-Upgrade auch um eine zu vermeidende Panik oder subjektive Ängste geht, verschweigt der Entwurf, auch wenn er explizit die Covid-19-Pandemie und die Sabotageakte bei der Bahn und den Nord-Stream-Pipelines als Gefahrenbeispiele nennt. Es geht bei dem Gesetz eben vor allem darum, Unternehmen im Tagesgeschäft zu mehr Wachsamkeit zu zwingen – und die Angst vor übermächtigen Hackern, die von heute auf morgen gezielt ganze Infrastrukturen lahmlegen oder manipulieren können, klar zu minimieren. Allein die Ankündigung soll zeigen, dass man hinter den Kulissen eben nicht in Ruhe abwartet, sondern sich eindeutig gegen Cyberangriffe positionieren will. In der Neuen Zürcher Zeitung schätzte Lennart Maschmeyer von der ETH Zürich die aktuelle Bedrohung durch kriegerisch zu nennende, flächendeckend wirkende Cyberangriffe ein. Sie sei im Gegensatz zu den gezielten Erpressungsangriffen auf einzelne Unternehmen eher gering. Es gebe bei Cyberoperationen nämlich drei Faktoren, die voneinander abhängen: Geschwindigkeit,
Daten der jeweiligen IT-Infrastruktur nicht nur sammelt, sondern sie auch miteinander verknüpft und auf Muster und Auffälligkeiten untersucht.
Bild iStockphoto/Roy-Ensink
D
as im Frühjahr verabschiedete Upgrade des IT-Sicherheitsgesetzes mahnt den Schutz kritischer Infrastrukturen der täglichen Versorgung an. Dazu zählen Energienetzbetreiber und Wasserversorger, der Lebensmittelhandel, Transport- und Verkehrsmittel, das Gesundheitswesen und IT- und Telekommunikationsunternehmen, aber auch Medien und Kultur und öffentliche Verwaltungsbetriebe. Wörtlich hieß es im letztjährigen Entwurf des Bundesministeriums des Innern und für Heimat dazu: »Von der Alarmierung von Rettungskräften über die Stromversorgung bis zum Zahlungsverkehr – Kritische Infrastrukturen (KRITIS) sind für unsere Gesellschaft unverzichtbar. Jede und jeder Einzelne ist im Alltag auf sie angewiesen.« Die KRITIS-Verfügbarkeit sichere die Handlungsfähigkeit staatlicher Institutionen und sei dabei Voraussetzung für wirtschaftliche und gesellschaftliche Aktivitäten. Da die Bandbreite dieser Institutionen groß sei, sei auch die Gefahrenlage vielfältig. Sie reiche »von Naturkatastrophen über Terrorismus und Sabotage bis hin zu menschlichem Versagen«.
Uneins ist sich die Ampel-Koalition darüber, ob vorhandene Schwachstellen für Ermittlungen, die Kriminalitätsbekämpfung oder staatliche Spionagetätigkeiten bewusst offenbleiben sollen. Intensität und Kontrolle. »Versucht man eine der drei Variablen zu erhöhen, nehmen die anderen zwei ab. Zum Beispiel: Je grösser die Zerstörungskraft sein soll, die man mit einem Angriff erreichen will, desto mehr Zeit braucht er und desto eher gerät er außer Kontrolle. Eine militärisch relevante Cyberoperation kostet tendenziell so viel Vorbereitungszeit, dass sie nicht kurzfristig durchgeführt werden kann.« Die Kunst der Verknüpfung ist die Kunst der Resilienz Das IT-Sicherheitsgesetz will aber die Abhängigkeit von Daten mit der Abhängigkeit eines
funktionierenden Staates und Alltagslebens kreuzen – und so mehr Resilienz erzeugen, die bis zum einzelnen Bürger wirkt. Auch psychologisch. Wörtlich heißt es im IT-Sicherheitsgesetz: »Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.« Hier kommt das Security Incident Event Management, kurz SIEM, ins Spiel, das sämtliche sicherheitsrelevanten
Sollen Sicherheitslücken offenbleiben? Uneins ist sich die Ampel-Koalition darüber, ob vorhandene Schwachstellen für Ermittlungen, die Kriminalitätsbekämpfung oder staatliche Spionagetätigkeiten bewusst offenbleiben sollen. Während SPD und Grüne ein solches staatliches Hacken teilweise befürworten, will die FDP ein komplett lückenfreies und geschlossenes System. Manuel Höferlin, innenpolitischer Sprecher der FDP-Fraktion, gegenüber Netzpolitik.org: »Die Pläne von Bundesinnenministerin Faeser für ein einheitliches Schutzniveau kritischer Infrastruktur gehen in die richtige Richtung, sie vergisst aber einen wesentlichen Aspekt des Schutzes digitaler Infrastruktur. Um die Cybersicherheit zu stärken, müssen wir die IT-Sicherheitslücken konsequent schließen, statt diese für Überwachungszwecke offenzulassen und externe Überprüfungen auf Schwachstellen einführen.« Im nächsten Schritt sollen die Kritischen Infrastrukturen durch ein KRITIS-Dachgesetz, das ab 2025 in Kraft treten soll, auch physisch geschützt werden. Dazu sollen in Unternehmen Pläne für den Objektschutz intensiviert und Meldepflichten für Störfälle umgesetzt werden. Auch Maßnahmen zur Schulung der Mitarbeitenden und zu konkreten Zugangskontrollen und einer Priorisierung von Verantwortlichen sollen getroffen werden. »Bei Wahrung der verfassungsrechtlichen Zuständigkeiten der Aufsichtsbehörden auf Bundes – und Landesebene in den einzelnen Sektoren« werde das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe »eine koordinierende Rolle erhalten, damit erstmalig ein sektorenübergreifender Überblick über das Gesamtsystem der kritischen Anlagen als einen wesentlichen Teilbereich der Kritischen Infrastrukturen geschaffen wird«. Ob es für diesen Überblick einer Datenschutz- oder sonstigen Lücke bedarf, könnte Gegenstand neuer Diskussionen werden. Eines ist jedoch sicher: Alles hängt mit allem zusammen. Text: Rüdiger Schmidt-Sodingen
ANZEIGE
CISO AS A SERVICE SECURIT Y OPERATIONS CENTER SECURIT YINFRASTRUKTUR
DIE CYBERSECURITY-EXPERTEN STELLEN SICH VOR INCIDENT RESPONSE
GOVERNANCE, RISK MANAGEMENT & COMPLIANCE
INFORMATIONSSICHERHEIT
OFFENSIVE SECURIT Y DEFENSIVE SECURIT Y
www.is4it-kritis.de
E I N E P U B L I K AT I O N VO N S M A RT M E D I A
#SMARTIT&SICHERHEIT
KLÜH SECURITY GMBH • BRANDREPORT 5
Um Sicherheit zu schaffen, muss man sich anpassen können Sven Horstmann
Geschäftsführer Klüh Security GmbH
B
edrohungslagen ändern sich und wer Sicherheit gewährleisten möchte, muss in der Lage sein, agil zu reagieren. Genau dies demonstriert das Unternehmen Klüh: Der Security-Anbieter, der auch auf den Schutz kritischer Infrastrukturen spezialisiert ist, erweitert im Dienste seiner Kunden die eigenen Kompetenzen.
Herr Horstmann, eine Kernkompetenz von Klüh ist der Schutz kritischer Infrastrukturen (KRITIS). Was versteht man darunter? Hierbei handelt es sich um Infrastrukturen, die für das staatliche Gemeinwesen von unmittelbarer Bedeutung sind. Oder anders ausgedrückt: Fallen diese KRITIS aus, kollabiert auch das Gemeinwesen oder erleidet zumindest Schaden. Konkret sprechen wir hier z. B. von Energieversorgungsunternehmen, Krankenhäusern und weiteren, dem Allgemeinwohl dienenden Infrastrukturen, aber auch großen Lebensmittelproduzenten. Rund die Hälfte unserer Kunden sind Betreiber solcher KRITIS.
Wir agieren gemäß unserem Slogan: »Wir geben Sicherheit. Mit zukunftsfähigen Lösungen.« Das bedeutet für uns, dass wir KRITIS mit verschiedenen Maßnahmen »rundum« sichern.
Wie lautet die Strategie Ihres Unternehmens in diesem wichtigen Handlungsfeld? Wir agieren gemäß unserem Slogan: »Wir geben Sicherheit. Mit zukunftsfähigen Lösungen.« Das bedeutet für uns, dass wir KRITIS mit verschiedenen Maßnahmen »rundum« sichern. Hierbei spielen neben den Aspekten der Cybersicherheit die physische Sicherheit und der Schutz von Menschen für Klüh Security eine große Rolle. Unser Dienstleistungsportfolio optimieren wir laufend und geben unseren Fachleuten neue, wirksame Technologien und Wissen an die Hand. Können Sie ein Beispiel dafür nennen? In unserem Dailybusiness, insbesondere beim Schutz kritischer Infrastrukturen, müssen wir uns schnell einen Überblick verschaffen, um Risiken zu erkennen und zu managen. Moderne bild- und datengebende Mittel wie beispielsweise Multikopter und andere Formen mobiler Videoüberwachung sind dabei unerlässlich. Alle diese Instrumente müssen zudem KRITIS-fähig sein, entsprechend den Vorgaben des BSI.
Feld« jederzeit technisch begleiten und unterstützen können. Hierfür setzen wir vermehrt auf Analytik sowie Big Data. Wie passt sich Ihr Unternehmen an die sich verändernden Anforderungen im Bereich der KRITIS an? Als Mitglied des Bundesverbandes für kritische Infrastruktur informieren wir uns regelmäßig über die neuesten Entwicklungen und Normen. Unsere Fachberater sind daher immer auf dem neusten Stand. Zudem sind wir an allen wichtigen Branchenveranstaltungen präsent und nutzen unser Partnernetzwerk. Dies erlaubt es uns, mit den Bedürfnissen unserer Kundschaft mitzuwachsen. Klüh Security kommt aus der klassischen Sicherheitsdienstleistung und durchläuft nun eine Transformation, wobei der Technikbereich neue Wichtigkeit erhält. Auf diese Weise machen wir uns resilient für die Bedrohungsszenarien von morgen. Weitere Informationen unter www.klueh.de
Welches sind die größten Herausforderungen, die sich beim Schutz von KRITIS ergeben? Ein wesentliches Thema ist der Fachkräftemangel. Zudem müssen wir die Prozesse unserer Mitarbeitenden »im
RHEINSTERN • BRANDREPORT
»Wir geben Menschen die volle Zutrittskontrolle über Türen, Fenster, Hebe-Schiebe-Elemente und Lüfter« im Objektbau eingesetzt wird. Mittlerweile kommt er darüber hinaus im gehobenen privaten Wohnbau zum Einsatz. Hierbei wird ein kabelgebundener Systembus verwendet, der eine digitale Kommunikation der integrierten Komponenten ermöglicht. Mit unserem Siegenia KNX-Gateway ermöglichen wir nun, unsere SI-BUS-fähigen Tür- und Fensterantriebe direkt und digital in ein KNX- System einzubinden.
Andre Zech
Produktmanager
S
eit über 100 Jahren sorgt Siegenia für moderne Fenster- und Türschließsysteme. Produktmanager Andre Zech erklärt, wie digitale Zugangssysteme zusammen mit einer smarten Öffnungs- und Verschlussüberwachung die Sicherheit von ganzen Gebäuden und einzelnen Räumen erhöhen.
Herr Zech, Sie sichern mit Ihren Systemen buchstäblich das ganze Haus ab. Beginnen wir bei den Türen. Ihre digitalen Zugangssysteme schützen Türen mit Fingerscanner, Keypad und Transponder vor unbefugten Eintritten. Alle drei Systeme kommunizieren durch die SI-BUS-Schnittstelle direkt mit dem Antrieb? Ja, genau. Zu diesem Zweck haben wir uns 2016 dazu entschieden, eine digitale Kommunikation unserer Antriebe und smarten Produkte einzuführen. Diese ermöglicht uns, deutlich mehr Funktionalität bei einer einfacheren Plug & Play Installation abzubilden. Weiter ist es damit möglich, alle SI-BUS-fähigen Geräte mit Funktions- und Sicherheitsupdates zu versorgen und die Systeme damit auch in Zukunft an die entsprechenden Standards anzupassen.
Über eine App kann ich Zugriffe auf das System aber auch für Nachbarn oder Sicherheitspersonal einrichten und von unterwegs verwalten? Auch das stimmt. Unser Ziel ist es, dem Kunden immer mit nur einer App den Zugriff auf alle smarten Siegiena-Produkte zu ermöglichen. So haben Nutzende einerseits den vollen Zugriff auf alle Funktionen der eingesetzten Zutrittskontrollsystem-Lösung an der Tür, andererseits aber auch auf die motorischen Lösungen an Fenstern und Hebe-SchiebeElementen sowie das Lüftersystem. So kann der Administrator seine verschiedenen Nutzer
sowohl im Netzwerk vor Ort als auch über den optionalen Fernzugriff jederzeit verwalten. Gleichzeitig kann er per Remote das System auch aus der Ferne steuern und so zum Beispiel Personen manuell den Zugang gestatten.
Mit Ihrem KNX-Gateway lassen sich sowohl Türen als auch Fenster automatisch öffnen und verriegeln – und über verschiedene Geräte manipulationssicher steuern. Wie funktioniert das? KNX ist ein verbreiteter Gebäudeautomationsstandard, der seit vielen Jahrzehnten bereits
Was für Funklösungen gibt es noch? Neben dem KNX–Standard setzen wir bei Funklösungen auf den neuen SmarthomeStandard »Matter«. Neue Produkte aus laufenden Projekten unterstützen bereits das Matter–Protokoll und können somit herstellerunabhängig mit weiteren Matter-fähigen Produkten in verschiedenen Smarthome–Systemen kombiniert werden. Dabei bedienen wir die Positionsüberwachung, Einbruchshemmung und das motorische Bewegen, Schließen und Verriegeln von Fenstern und Türen. Schon heute zeigt die Zukunft eine Verschmelzung von Matter-fähigen Smarthome-Produkten mit der professionellen KNX-Gebäudeautomationswelt auf, die künftig eine smarte Bedienung nicht nur im Haus, sondern auch rund um die Fassade ermöglichen wird. Interview Rüdiger Schmidt-Sodingen
E I N E P U B L I K AT I O N VO N S M A RT M E D I A
Bild iStockphoto/urzine
6 LIEFERKETTE
FOKUS.SWISS
Heute schon die Lieferkette gecheckt? Das am 1. Januar in Kraft getretene Sorgfaltspflichtengesetz, auch Lieferkettengesetz genannt, verpflichtet größere Unternehmen mit Sitz oder Zweigniederlassung in Deutschland zur Einhaltung und Überwachung der Menschenrechte und des Umweltschutzes. Die verordnete Sorgfaltspflicht fordert Risikomanagement und Berichtswesen gleichermaßen.
D
as Lieferkettengesetz ist vor allem eins: ein weiterer Anschlag auf das Abteilungsdenken von gestern. Denn wer sich nur um seine Kreise kümmert, könnte angesichts der eingeforderten Informationen und des dazu nötigen Verständnisses für einen umfassenden Schutz der Menschenrechte und der Umwelt bald nervös werden. Wie, um Himmels Willen, ist es in jeder nahen und fernen Ecke einer Firma um Menschlichkeit und Natur bestimmt? Und vor allem: Wie können Unternehmen mit mindestens 3000 Mitarbeitenden nun sicherstellen, dass in jedem Glied einer Lieferkette soziale und ökologische Standards definiert, erfasst und im nächsten Schritt schnell verbessert werden? Expert:innen wissen längst: Das Lieferketten-Reporting kann wahrscheinlich gar nicht sicherstellen, dass überall zu jedem Zeitpunkt alles in Ordnung ist. Aber es bringt sämtliche Akteur:innen einer Firma dazu, sich regelmäßig über die Befindlichkeiten in den Verzweigungen Gedanken zu machen und entsprechende Aktionen einzuleiten. Risiken erfassen, bewerten, abstellen Die Möglichkeiten zu einer Planung der Berichterstattung und damit regelmäßigen Anpassung und Umsetzung des Lieferkettengesetzes hängen vor allem von der Installation eines speziellen Risikomanagements ab. Letzteres muss Risiken lokalisieren, bewerten und priorisieren. Der nächste Schritt besteht dann in einer veröffentlichten Grundsatzerklärung und einer für alle Mitarbeitenden zugänglichen Beschwerdestelle. Wichtig hierbei: Es müssen eben auch indirekte Zulieferer diesen Zugang bekommen, die bis dato für viele Unternehmen praktisch unsichtbar waren. Der Gesetzgeber ist überzeugt davon, mit dem Gesetz im Sinne der Unternehmen zu handeln, denn »durch Einhaltung dieser Sorgfaltspflichten (…) soll auch den
Wettbewerbsnachteil oder Chance? Die angedrohten »behördlichen Durchsetzungsmechanismen« mit »Eingriffsbefugnissen« bestehen auch darin, gewisse Unternehmen von öffentlichen Aufträgen auszuschließen. Das kann vor allem ab 2024 weiterreichende Folgen haben, wenn auch Unternehmen ab 1000 Mitarbeitenden ihre Lieferketten untersuchen und dokumentieren müssen.
Expert:innen wissen längst: Das Lieferketten-Reporting kann wahrscheinlich gar nicht sicherstellen, dass überall zu jedem Zeitpunkt alles in Ordnung ist.
legitimen Interessen der Unternehmen an Rechtssicherheit und fairen Wettbewerbsbedingungen Rechnung getragen werden. Die angemessene Weise eines Handelns, das den Sorgfaltspflichten genügt, bestimmt sich jeweils nach unternehmensspezifischen Kriterien.« Dass der Gesetzgeber mit dem letzten Satz bewusst klarmacht, dass es kein Patentrezept gebe, muss nicht als Schwäche ausgelegt werden. Im Gegenteil. Es kann auch als Vertrauensbeweis in eine moderne Unternehmensführung interpretiert werden. Während die ersten neuinstallierten Risikomanager:innen vor allem auf »Wie«- und
»Wie viel«-Fragen setzen, um unfaire Löhne, dreisten Landraub, Kinderarbeit oder die Verhinderung von Gewerkschaftsgründungen aufzuspüren, werden gleichzeitig praktikable Berichtstrukturen erarbeitet, die möglichst genau diese ersten Schritte dokumentieren sollen. Der Gesetzgeber mahnt als Summe aller Aktivitäten nämlich eine klare Berichterstattung an, die vom Bundesamt für Wirtschaft und Ausfuhrkontrolle, kurz BAFA, eingesehen und bewertet werden kann und soll. Das BAFA, so das Gesetz, sei mit Eingriffsbefugnissen ausgestattet und könne Zwangs- und Bußgelder verhängen.
Führt das alles nur zu mehr Bürokratie und weniger Attraktivität am Industriestandort Deutschland? Man tut gut daran, hier etwas weiter zu blicken. Im nächsten Schritt soll das Sorgfaltspflichtengesetz nämlich an eine »künftige europäische Regelung angepasst werden mit dem Ziel, Wettbewerbsnachteile für deutsche Unternehmen zu verhindern«. Und ganz sicher kann das Lieferkettengesetz auch als Werbung fürs jeweilige Unternehmen wirken, das sich ernsthaft einer Verbesserung der Arbeits- und Wirkungsbedingungen widmet. Vor Ort in Deutschland, aber auch in weit entfernten Ländern, wo sich mit fairen wechselseitigen Geschäftsbeziehungen sicher leichter verlässliche Handelsnetzwerke aufbauen lassen. Eine »Care and stay«- statt »Hire and fire«-Politik kann besonders auch in turbulenten Zeiten, hier wie dort, Verbindungen und Unternehmen festigen. Keine Frage: Das Lieferkettenschutzgesetz ist eine erzieherische Maßnahme, die dort andockt, wo Mitarbeitende zum Beispiel wöchentlich Berichte an die Abteilungsleitung verfassen. Man macht es vielleicht nicht gerne, erkennt jedoch über die Wochen und Monate den Sinn. Regelmäßig zu reflektieren, führt nicht selten zu einer Verbesserung der eigenen Tätigkeit oder des eigenen Lebens oder des Lebens anderer. Von daher ist das Lieferkettengesetz auch ein Lernprozess zugunsten einer empathischen Unternehmensführung. Text Rüdiger Schmidt-Sodingen
E I N E P U B L I K AT I O N VO N S M A RT M E D I A
FOKUS.SWISS
CONSULTING 7
Die Digitalisierung – eine Herausforderung für den Beratungssektor Die fortschreitende Digitalisierung zwingt Unternehmen, agil und flexibel zu bleiben. Doch wie bleiben sie am Puls der Zeit? Digital Consulting kann helfen.
D
as Beratungsgeschäft im Bereich der digitalen Transformation dürfte in den letzten Jahren explodiert sein. Spätestens seit der Coronapandemie wollen Unternehmen mit modernen Technologien ihren Geschäftserfolg steigern. »Red Hat«, einer der führenden Anbieter von Open-Source-Software, glaubt, dass Unternehmen Schwierigkeiten mit der digitalen Transformation haben, weil sie erwarten, dass Technologie allein ihre geschäftlichen Herausforderungen lösen kann. De facto sind es Probleme wie organisatorische Reibungsverluste, mangelnde Sicherheit, kognitive Überlastung, fehlende Autonomie oder ineffizientes Management, die Unternehmen bei dieser Entwicklung bremsen.
Berater:innen können Unternehmen helfen, die Chancen der Digitalisierung zu nutzen und die Risiken zu minimieren. Damit geben sie den Beschäftigten ein Gefühl von Sicherheit in unsicheren Zeiten. Unterstützung ist vor allem bei der Umstellung von Systemen und Prozessen, bei der Kosten- und Zeitregulierung sowie bei der Weiterbildung von Führungskräften gefragt. Auch der Umgang mit Fehlern und das Lernen aus gescheiterten Projekten sind in der gegenwärtigen Transformation wichtig.
Die digitale Transformation ist geprägt von der Angst, überflüssig zu werden. Doch wie können digitale Hilfsmittel effizient eingesetzt werden, ohne dass der Mensch als Arbeitskraft obsolet wird? Einerseits soll den Mitarbeiter:innen ein Umgang mit der digitalen Umgebung beigebracht werden. Andererseits sollen die Mitarbeiter:innen in jenen Fähigkeiten gestärkt werden, die nicht automatisierbar sind. Das sind menschliche Fähigkeiten wie Kommunikations- und Reflexionsfähigkeit, vernetztes Denken und Empathie.
Onlineberatung auf dem Vormarsch? Persönliche Verunsicherung in Zeiten dieser quasi industriellen Revolution ist nicht ungewöhnlich. Dennoch darf nicht vergessen werden, dass solche tiefgreifenden Entwicklungen immer auch ein enormes Potenzial bergen. So sprechen Stephan Rietmann et al. in dem Buch »Beratung und Digitalisierung: Zwischen Euphorie und Skepsis« über das direkte Zusammenspiel von Beratung und Digitalisierung – die Onlineberatung.
Die vielleicht größte Herausforderung für Unternehmen ist die rasante Entwicklung in fast allen Bereichen. Bill Gates sagte einst: »Die Innovation entwickelt sich in einem erschreckend schnellen Tempo.« Dieser Satz trifft den Nagel auf den Kopf. Daher wird es immer wichtiger, rechtzeitig auf neue Trends zu reagieren und den ständigen Wandel zu managen. Mehr als nur Kosten senken Beratungen können Unternehmen helfen, ihre digitale Transformation durch innovative Technologien und neue Geschäftsprozesse zu beschleunigen. So können Unternehmen ihren Umsatz steigern, die Erfahrungen ihrer Mitarbeiter:innen und Kund:innen verbessern, Kosten senken sowie die Produktivität und Profitabilität steigern. Bereits Ende 2021 erklärte ein Experte im Interview mit »Digital.Now«, dass es bei der Digitalisierung jedoch nicht nur um Effizienzsteigerung, Produktivität und Kostensenkung geht. Insbesondere die Entwicklung neuer Geschäftsmodelle und Wertschöpfungsketten, die durch die Digitalisierung ermöglicht werden, würden eine entscheidende Rolle spielen. Damit sei auch die strategische IT-Beratung wesentlich anspruchsvoller und umfassender geworden. Auch softe Themen, wie Mitarbeiter:innenführung und -schulung sowie das »digital mindset«, seien sehr wichtig. Denn solche digitalen Transformationsprojekte können Organisationen, Hierarchien und persönliche Karrieren massiv verändern. Angst, überflüssig zu werden Consulting Services sorgen dafür, dass Menschen, Prozesse und Technologien aufeinander abgestimmt sind. Dieser ganzheitliche Ansatz zielt darauf ab, Teams im gesamten Unternehmen zu schulen – in Testprozessen für neue Technologien und im Umgang mit schnellen Veränderungen. So ist die Beratung auch nachhaltig und es müssen nicht gleich beim ersten Hindernis Berater:innen hinzugezogen werden.
Bild iStockphoto/anyaberkut
So kann die Einführung oder Entwicklung neuer Technologien zwar gelingen, der erwartete Ertrag aber ausbleiben. Der Grund: Die sozio-technischen Herausforderungen werden nicht berücksichtigt. Um diese Schwierigkeiten zu bewältigen, greifen Unternehmen immer mehr auf Consulting-Anbieter:innen zurück.
Onlineberatung hat den Vorteil, dass sie die Souveränität der Nutzer:innen im selbstbestimmten Umgang mit Beratung erhöht. Zudem sind online weitaus mehr Settings und Kontexte realisierbar als in der traditionellen Face-to-Face-Beratung. So können Ratsuchende an jedem Ort und zu jeder Zeit beraterische Interaktionalität, wie sie im oben genannten Buch beschrieben wird, nachfragen.
Insbesondere die Entwicklung neuer Geschäftsmodelle und Wertschöpfungsketten, die durch die Digitalisierung ermöglicht werden, würden eine entscheidende Rolle spielen.
Die dadurch gewonnene Flexibilität kann im stressigen Alltag von Vorteil sein. Außerdem kann die Zeit gespart werden, die ansonsten für ein physisches Treffen benötigt würde. Weitere vorteilhafte Merkmale der Onlineberatung sind die Anonymität und hybride Dialogformen – wie beispielsweise der Austausch von Texten, Onlinegespräche oder ein Chat mit einer künstlichen Intelligenz. Ob die Onlineberatung die Präsenzberatung in all ihren Formen ersetzen kann, ist fraglich. Es ist jedoch davon auszugehen, dass sie in Zukunft vermehrt zum Einsatz kommen wird – insbesondere mit Blick auf die Digital Natives, die die Arbeitswelt von morgen dominieren werden. Grundsätzlich soll Beratung im digitalen Bereich Unternehmen dabei helfen, durch neue Technologien bessere Erlebnisse für Kund:innen zu schaffen und bessere Geschäftsergebnisse zu erzielen. Text Linda Carstensen
E I N E P U B L I K AT I O N VO N S M A RT M E D I A
8 FACHKRÄFTEMANGEL IN DER CYBERSICHERHEIT
FOKUS.SWISS
Cybersicherheitsexpert:innen sind dringend gesucht!
D
Eine Studie zur Cybersicherheit hat beunruhigende Ergebnisse gezeigt. Während die Zahl der Cyberangriffe stetig steigt, fehlen weltweit rund 3,4 Millionen Arbeitskräfte für die Cyberabwehr. Die geopolitische Lage scheint sich nicht zu entspannen und die Digitalisierung macht die Gesellschaft anfälliger für Hackingangriffe: Der Fachkräftemangel in diesem Bereich ist ein ernst zu nehmendes Problem.
Erheblicher Fachkräftemangel auf allen Kontinenten Das ISC2 ist mit rund 600 000 Mitgliedern der weltweit führende Mitgliederverband für Cybersicherheitsexpert:innen und publiziert jeweils einen Jahresbericht. Obwohl es auf der Welt rund 4,7 Millionen Cyberexpert:innen gibt – so viele wie noch nie – fehlen laut dem Bericht 3,4 Millionen Arbeitskräfte. Der asiatisch-pazifische Raum verzeichnete 2022 mit einem Plus von 15,6 Prozent den größten Zuwachs an neuen Cybersicherheitsexpert:innen. Trotz dieses Wachstums nimmt auch der Fachkräftemangel in dieser Region weiter zu: Das ISC2 schätzt den Bedarf im asiatischpazifischen Raum auf über zwei Millionen Arbeitskräfte. In Deutschland hat sich die Zahl im Vergleich zum Vorjahr kaum verändert: Rund 450 000 Menschen arbeiten in der Branche, benötigt werden aber mindestens 100 000 mehr. Geld ist nicht das einzige Problem Für 43 Prozent der befragten Cybersecurityexpert:innen liegt das Problem darin, nicht genügend qualifiziertes Personal zu finden. Das Interesse ist also da, aber es fehlt an Fachkräften auf dem Markt. Ein Drittel der Studienteilnehmenden gibt an, dass die Unternehmen mit der Fluktuation nicht mithalten können und deshalb offene Stellen nicht genügend schnell wieder besetzt
Bild iStockphoto/Jacob Wackerhausen
er Arbeitskräftemangel macht sich in verschiedenen Branchen bemerkbar. Die Cybersicherheit ist eine Branche, die besonders unter dem Personalmangel leidet und gleichzeitig für die Sicherheit des ganzen Landes von großer Bedeutung ist. Kritische Infrastrukturen sind branchenübergreifend unzureichend geschützt, was ein nationales Problem darstellt. Dieser Mangel macht sich bei den Mitarbeitenden in der Cybersicherheit bemerkbar: Fast 70 Prozent geben an, dass es in ihrer Organisation an Personal für Cybersecurity mangelt. Doch worin liegen die Ursachen und was kann dagegen unternommen werden?
Für 43 Prozent der befragten Cybersecurityexpert:innen liegt das Problem darin, nicht genügend qualifiziertes Personal zu finden. werden können. Darauf folgen die bekannten Gründe für den Fachkräftemangel: Mit rund 30 Prozent sehen die Mitarbeitenden die Ursache darin, dass ihr Unternehmen kein konkurrenzfähiges Gehalt zahlt. Außerdem hätten sie zu wenig Budget, um genügend Fachkräfte einzustellen. Die Unternehmen bemühen sich sehr Die Unternehmen sind sich des Fachkräftemangels bewusst und bemühen sich, die Situation zu verbessern. Sie bieten zum Beispiel Homeoffice an oder investieren in die Weiterbildung ihrer Mitarbeitenden. Einige Unternehmen planen oder arbeiten bereits an der Automatisierung der Cybersicherheit durch neue Technologien. Hier können leistungsfähigere künstliche Intelligenzen in Zukunft viel Abhilfe schaffen und Cybersicherheitsexpert:innen bei ihrer Tätigkeit unterstützen.
Entwicklungsländer brechen mit Geschlechterstereotypen Die IT-Branche sollte sich jedoch noch stärker um mehr Diversität bemühen, vor allem in den Industrieländern. Es ist klar, dass dieses Berufsfeld oft sehr männerdominiert ist. Das gilt aber nicht für alle Länder. Nigeria und Mexiko führen das Ranking mit einem Frauenanteil von 34 Prozent an. Eine Ausnahme unter den Industrienationen bildet Irland mit einem Frauenanteil von knapp einem Drittel, dicht gefolgt von Brasilien und Indien mit rund 30 Prozent. Schlusslicht ist Japan mit einem Männeranteil von 90 Prozent. Aber auch Deutschland und die USA mit nur 13 Prozent Frauenanteil hätten noch viel Potenzial. Die Ausbildung und Einstellung von Frauen könnte das Problem des großen Fachkräftemangels in der Cybersicherheit etwas abmildern oder sogar lösen.
Wozu Cybersicherheit? Der Entwickler von IT-Sicherheitstechnologien Fortinet berichtet in einer eigenen Studie von einem 80-prozentigen Anstieg von einem oder mehreren Cyberangriffen auf Unternehmen. Knapp die Hälfte davon verursachte einen Schaden von mehr als einer Million Dollar. Doch was sind die Ursachen für die Zunahme solcher Angriffe? 68 Prozent der Unternehmen sind der Meinung, dass sie der Mangel an Fachkräften für Cybersicherheit zusätzlichen Risiken aussetzt. Für die große Mehrheit steht also fest, dass sich Hackingangriffe mit ausreichend IT-Personal bis zu einem gewissen Grad verhindern lassen. Doch Vorsicht! Rund 80 Prozent der Unternehmen gaben an, dass die Cyberattacken in Form von Phishing geschahen und somit die Gefahr bei den Mitarbeitenden oder Kund:innen liegt. E-Mails oder andere Nachrichten sollten daher von allen immer genau geprüft werden. Auch deutsche Organisationen sind von Cyberattacken betroffen PwC berichtet, dass Cyberattacken in Deutschland seit Beginn der Coronapandemie und des Ukraine-Krieges deutlich zugenommen haben. Im Jahr 2022 wurden 70 Prozent der befragten Unternehmen Opfer von bis zu zehn Cyberattacken. Das Besondere an diesen Angriffen ist, dass sie nicht auf ein einzelnes Unternehmen abzielen, sondern die breite Masse treffen. PwC betont in seiner Studie auch, dass insbesondere KMUs Schwierigkeiten mit der Cybersicherheit haben. Obwohl es für die größten Sicherheitsrisiken Lösungen auf dem Markt gibt, werden diese nicht genutzt. Den kleinen und mittleren Unternehmen fehlt es an finanziellen Mitteln, um die entsprechenden IT-Expert:innen einzustellen. Ähnlich sieht es im öffentlichen Sektor aus, der im Wettbewerb mit Großkonzernen steht und aufgrund geringerer Budgets benachteiligt ist. Text Cedric Keiser
ANZEIGE
Mehr entdecken auf
fokus.swiss
#smartsicherheit
Mehr Sicherheit für das Digitale-Ich
E I N E P U B L I K AT I O N VO N S M A RT M E D I A
10 INTERVIEW • ALEXANDER WERKMANN
FOKUS.SWISS
Alexander Werkmann
»Zeit ist der Schlüssel – und das Zusammenspiel von Menschen, Prozessen und Technologie«
C
Interview Rüdiger Schmidt-Sodingen
yberattacken mit Ransomware nehmen zu, immer öfter werden »Backdoor«-Einstellungen in Software genutzt. Als größter Anbieter von Unternehmenssicherheit setzt IBM deshalb auf ein umfassendes Verständnis für die Sichtweise der Angreifer. Alexander Werkmann, Director IBM Technology Security DACH, über die aktuelle Bedrohungslage – und umfassende Abwehrlösungen.
Herr Werkmann, in Ihrem X-Force Threat Intelligence Index 2023 stellen Sie fest, dass 21 Prozent aller Cyberangriffe eine »Backdoor« genutzt haben. Wo genau liegt das Problem? Wir sahen zuletzt weltweit einen erheblichen Anstieg der Nutzung von Backdoors. Vor allem die zu Beginn des Jahres 2022 beobachtete Zunahme von Emotet trug zum Anstieg von Backdoors bei. Bei Backdoors handelt es sich um heimliche oder unbekannte Eintrittspunkte, also Schwachstellen oder Schadsoftware-Einschleusungen, in Computersysteme, die von Angreifern verwendet werden, um unbefugten Zugriff zu erhalten. Sie verursachen in der Regel Probleme wie Datenverlust, illegale Systemkontrolle, Diebstahl von Informationen, Malware-Verbreitung und rechtliche Konsequenzen. Etwa zwei Drittel dieser Backdoor-Fälle haben die Merkmale einer Ransomware-Attacke.
Sie fordern Unternehmen dazu auf, nicht nur Sicherheitslücken zu schließen, sondern sich bewusst mit dem Denken und der Sichtweise der Angreifer auseinanderzusetzen. Im Kern geht es um die Erkenntnis, dass ein rein reaktives Handeln im Perimeter nicht mehr ausreicht. Die digitale Angriffsoberfläche von Unternehmen wächst massiv, kontinuierlich und dynamisch. Die voranschreitende Digitalisierung, die Verlagerung von Workloads, die Nutzung innovativer Services in der Cloud, aber auch die Zunahme an Schnittstellen (APIs), um Plattformen konsumierbar zu machen und selbst zu nutzen, führen zu einer immer größeren Attack Surface. Die Sicht- und Denkweise von »Inside-Out« auch auf »Outside-In« zu drehen, bedeutet, wie ein Hacker zu denken und die eigene Abwehrfähigkeit zu hinterfragen! Das heißt: Proaktiv Schwachstellen in der IT-Umgebung aufdecken und Abwehrstrategien kontinuierlich daraufhin optimieren.
Kann man sagen, das Hauptproblem liegt darin, dass Angreifer einen besseren Einblick ins Unternehmensnetzwerk haben als das Unternehmen selbst? So pauschal lässt sich das nicht beantworten. Das hängt von vielen Parametern ab. Hacker, die in ein Netzwerk eindringen wollen, haben den Vorteil, dass sie von außen kommen und das Unternehmen häufig seine Schwachstellen nach außen nicht alle kennt. Da gibt es Schatten-IT, ungepatchte Systeme mit alten Firmwareständen, abgelaufene Zertifikate, Backdoors und Zombie-Systeme, die für ein Unternehmen möglicherweise ein »blinder Fleck« sind. Zudem sind Hacker meist erfahren, sind nicht selten
Das Üben von Cybersicherheitsanwendungsfällen ist ein proaktiver Ansatz, um die Sicherheit zu stärken und die Reaktionsfähigkeit auf Cyberangriffe zu erhöhen. — Alexander Werkmann, Director IBM Technology Security DACH staatlich unterstützt und können über erhebliche Ressourcen und Kenntnisse verfügen. Sie fokussieren sich gezielt auf Schwachstellen in Software oder Systemen und können dabei sehr spezialisierte Angriffsmethoden entwickeln. Am Ende haben sie den Vorteil der Zeit. Es ist aber wichtig zu betonen, dass Unternehmen aktiv daran arbeiten sollten, ihre Netzwerke zu schützen und Schwachstellen zu beheben, um das Eindringen von Hackern und böswilligen Akteuren zu erschweren. Eine umfassende Sicherheitsstrategie, regelmäßige Schulungen für Mitarbeitende, ein starkes Patch-Management und die Überwachung von Netzwerkaktivitäten sind dabei entscheidend.
Vielleicht das wichtigste Ziel Ihrer Arbeit ist, dass Unternehmen alle Betriebsabläufe schnellstmöglich fortsetzen können. Inwiefern spielen das Erkennen und schnelle Beheben oder Kontern von Ransomware-Angriffen dabei die entscheidende Rolle? Ich hatte eben schon die Dimension der Zeit erwähnt. Sie ist, wie im realen Leben auch, ein essenzieller Faktor. Speziell in puncto Schaden und Kosten, wenn es zum erfolgreichen Angriff kommt. In unserem neuesten »Cost of a Data
Bild zVg
Breach Report« haben wir erhoben, dass eine kürzere Dauer der Datenschutzverletzung mit geringeren Kosten für die Datenschutzverletzung in Verbindung gebracht wird. Ein Lebenszyklus einer Datenschutzverletzung von weniger als 200 Tagen war mit durchschnittlichen Kosten von 3,93 Mio. US-Dollar verbunden. Ein Zyklus mit mehr als 200 Tagen hingegen mit Kosten von 4,95 Mio. US-Dollar. Dies entspricht einer Differenz von 23 Prozent und einer Kostenersparnis von 1,02 Mio. US-Dollar. Darum ist das Erkennen eines Angriffs sowie die sofortige Reaktion darauf sehr wichtig. Automatisierung, künstliche Intelligenz, aber auch die vorhandene Routine der Abwehr im Angriffsfall liefern hier eine wichtige Unterstützung. Wir empfehlen explizit, die Strafverfolgungsbehörden einzuschalten und zu informieren. Dies hat nach unserer Studie nicht nur einen Einfluss auf die Erkennung und Eindämmung einer RansomwareVerletzung, sondern auch auf die Kosten eines Ransomware- Angriffs, der bei Einschaltung der Behörden 470 000 US-Dollar geringer ist.
Ein wichtiges Modell, um Netzwerke und Datenzugänge abzusichern, ist Zero Trust. Was erfordert ein solches Zero-Trust-Modell? Das Motto ist: »Vertrauen ist gut, Misstrauen ist besser!« So setzt das Zero-Trust Framework in der Cybersicherheit darauf, dass »niemandem«, weder innerhalb noch außerhalb des Netzwerkes, grundsätzlich vertraut wird. Stattdessen werden strenge Authentifizierung und Überwachung für alle Benutzer und Geräte gefordert. Zero Trust verfolgt drei wesentlichen Prinzipien. Erstens: »Always verify« – verifiziere jeden, immer! Zweitens: »Least privilege« – vergib minimale Privilegien! Und drittens: »Assume breach« – bleibe misstrauisch und gehe davon aus, dass du gehackt wirst! Ziel ist es, das Risiko von Datenverlusten und Cyberangriffen signifikant zu minimieren. Zero Trust in der Cybersicherheit erfordert eine grundlegende, nachhaltige Neuausrichtung der traditionellen Sicherheitspraktiken. Immer mehr Unternehmen haben Mitarbeitende in Fernarbeit, die sich irgendwo einloggen, Netzwerken betreten und Daten bearbeiten oder abrufen. Wie können die in Zero Trust integriert werden? Die Integration von Fernarbeit oder dezentralen Remote-Zugriffen in ein Zero-Trust-Modell erfordert eine ganzheitliche Herangehensweise. Diese stellt sicher, dass die Sicherheitsrichtlinien und -praktiken konsistent angewendet werden, unabhängig davon, wo die Mitarbeitenden arbeiten. Dies ist in einer flexiblen oder hybriden Arbeitswelt, die uns vermutlich auch in Zukunft erwartet, besonders wichtig. Neben einem strengen Identitäts- und Zugriffsmanagement für alle Mitarbeitenden empfiehlt sich die Verwendung von Multi-Faktor-Authentifizierung (MFA), welche sicherstellt, dass nur autorisierte Personen auf Ressourcen zugreifen können. VPNs oder anderweitige verschlüsselte Verbindungen sollten ebenso zum Einsatz kommen wie sichere Endgeräte oder die Mirco-Segmentierung von Netzwerken und Remote-Arbeitsplätzen. Die Umsetzung von Zero Trust hat viele Schlüsselaspekte. Die oben genannten sind von hoher Bedeutung, allerdings sollten die Maßnahmen mit Blick auf das jeweilige Unternehmen, dessen Branche,
Unternehmensgröße, Wirtschaftlichkeit und Möglichkeiten als auch Attraktivität für böswillige Akteure spezifisch bewertet werden.
Sie plädieren als Sicherheitsexperte auch für Use Cases, die frühzeitig Bedrohungsszenarien durchspielen. Das Üben von Cybersicherheitsanwendungsfällen ist ein proaktiver Ansatz, um die Sicherheit zu stärken und die Reaktionsfähigkeit auf Cyberangriffe zu erhöhen. Wir kommen zurück auf die besondere Bedeutung von Zeit in der Cybersicherheit. Zur Erinnerung: Je schneller ich meine Abwehrmaßnahmen einleite und erfolgreich umsetze, desto geringer der Schaden und die verbundenen Kosten. Das Durchspielen von Anwendungsfällen ermöglicht es Unternehmen, Schwachstellen in ihren Sicherheitsmaßnahmen zu identifizieren, bevor Angreifer diese ausnutzen können. Ebenso können wichtige Erfahrungen gesammelt und Prozesse für eine schnelle und effektive Reaktion auf Angriffe entwickelt und getestet werden. Das Verproben von Anwendungsfällen hilft bei der Optimierung von Sicherheitsrichtlinien und -prozessen, um den aktuellen Bedrohungen und Angriffstaktiken zu entsprechen. Schlussendlich fördert dies auch das Bewusstsein der Mitarbeitenden für das stetig vorhandene Risiko im Cyberraum und schult diese für das Verhalten im Angriffsfall. Auf der einen Seite müssen Abwehrsysteme mit AI lernen, auf der anderen Seite führt an einer Sensibilisierung und Lernbereitschaft der internen Mitarbeitenden kein Weg vorbei. Wie bekommen Unternehmen das unter einen Hut? Das Zusammenspiel zwischen Menschen, Prozessen und Technologie ist für eine schnelle und erfolgreiche Verteidigung von Cyberangriffen wesentlich. Dabei sind alle drei genannten Komponenten essenziell. Wir haben bereits einen bestehenden Mangel an Menschen mit tiefen Fähigkeiten in der Cyberabwehr und sehen weiter, dass die Anforderungen für Abwehrmaßnahmen bei Unternehmen durch die steigende Regulatorik und die allgemeine Bedrohungslage zunehmen. Im Umkehrschluss benötigen wir daher eine höhere Produktivität durch verbesserte Automatisierung und künstliche Intelligenz in Prozessen und Technologie. Erfolgreiche Abwehr zeichnet sich wie im Fußball durch ein gutes Zusammenspiel aller Mannschaftsteile aus. Ein End-Point Detection Response System (EDR) muss Hand in Hand mit einem Network Detection Response (NDR) sowie einem Log Management, Security Incident Event Management (SIEM) und einem Security Orchestration Automation Response (SOAR) stehen. Plattformansätze, welche die Offenheit bei der Integration unterschiedlicher Technologien und Hersteller erlauben und einen hohen Beitrag für die Produktivität durch Einsatz von AI, Machine Learning (ML) und Automatisierung leisten, sind daher Key und, meiner Meinung nach, die Zukunft einer effizienten und nachhaltigen Cyber Defense. Gleichzeitig gilt es, die Kultur im Unternehmen auf Cyberangriffe einzustellen. Die Unternehmensführung muss vorangehen und die Priorität für das Thema durch die Bereitstellung einer nachhaltigen Cyber-Security-Strategie und finanzieller Mittel, aber auch durch ein kontinuierliches Bewusstsein und einhergehende Schulungsmaßnahmen klarmachen.
E I N E P U B L I K AT I O N VO N S M A RT M E D I A
#SMARTIT&SICHERHEIT
PATHLOCK • BRANDREPORT 11
»Vor die Welle kommen«: IT-Sicherheit zukunftssicher aufstellen
D
er neue Lagebericht 2023 des Bundesamts für Sicherheit in der Informationstechnik stellt eine »angespannte bis kritische Lage« fest. Diese wird sich weiter zuspitzen. Die BSI-Präsidentin Claudia Plattner fordert nun, dass alle Unternehmen und Institutionen ihre »Resilienzen so schnell wie möglich erhöhen, um Angriffen vorzubeugen«, und Cybersicherheit aktiv gestalten, um »vor die Welle zu kommen«. Wie man sich für 2024 richtig aufstellt, zeigen die Security-Profis von Pathlock anhand geschäftskritischer Anwendungen wie SAP.
Starke Zugangskontrollen unverzichtbar Piyush Pandey bestätigt, die IT-Branche erlebe derzeit eine deutliche Verschiebung der Prioritäten: »Wir sehen, dass Unternehmen wichtige Funktionen in die Cloud verlagern, um höhere Effizienz, Kosteneinsparungen und allgemeine Skalierbarkeit zu erreichen. Diese Umstellung von On-premises- auf Cloud-Geschäftssysteme verändert die Rolle einer effektiven Zugangskontrolle zusätzlich. Starke Zugriffskontrollen sind nicht länger ein Nice-to-have-Feature, sondern eine absolute Notwendigkeit.«
Automatisierung künftig entscheidend Piyush Pandey, CEO von Pathlock, konstatiert, angesichts der sich entwickelnden Cybersicherheitslandschaft werde das Management von Zugang und internen Kontrollen zu einem neuen geschäftskritischen Ziel. Unternehmen müssten einen risikomindernden Ansatz wählen. »Daher sind wir bestrebt, das Risiko in einer Vielzahl von Geschäftsanwendungen wie Finanzen, Personalwesen, Lieferkette, Vertrieb und Systemen zu reduzieren und gleichzeitig die Automatisierung zu fördern, die für die internen Kontrollprozesse in der Zukunft entscheidend sein wird.«
Ein ganzheitlicher Überblick über die aktuelle Risikosituation und die Informationsdarstellung bedeutet für immer mehr Unternehmen eine Herausforderung.
Vermehrt heterogene Anwendungsumgebungen Für viele Unternehmen bleiben SAP-Systeme wesentlicher Bestandteil ihrer IT-Infrastruktur, aber Systemumgebungen werden komplexer und Landschaften vergrößern sich um Lösungen anderer Anbieter, etwa als Ergebnis von Fusionen und Übernahmen neben großen SAP-Landschaften auch mit Oracle-ERP-Instanzen. »Die Verwaltung von Zugriffsberechtigungen einschließlich Rollen, aber auch Funktionstrennungsregeln und andere Aspekte rund um Identität, Zugriff und Sicherheit sind für den Schutz dieser geschäftskritischen Anwendungen unerlässlich«, folgert der diesjährige Leadership- Report der Analysten von KuppingerCole. Wichtig sei die Unterstützung einer Palette von Systemen. Hinzu kommt, so die Analysten, dass geschäftskritische Systeme dem Trend in die Cloud folgen und sich damit der Anwendungsbereich für zentralisierte Zugriffskontrollen über die traditionellen Systeme und SAP hinaus erweitert. Während die Anforderungen durch die Unterstützung weiterer Systeme und Bereitstellung geeigneter Integrationspunkte mit anderen Lösungen stiegen, sei entscheidend, »dass alle durch eine wirksame Lösung für das Risikomanagement abgedeckt sind, für die Verwaltung der Zugriffs- und der Funktionstrennung sowie für eine angemessene Zugangssteuerung«.
Schwachstellen effektiv erkennen und beheben Um das Gefährdungspotenzial etwa von SAP-Landschaften einschätzen zu können und mögliche Angriffspunkte zu identifizieren, gibt es zahlreiche Maßnahmen. Jede für sich hat eine Funktion, aber nur ihre Kombination ist zielführend im Sinne einer ganzheitlichen Absicherung. Bei der Durchführung von SchwachstellenScans werden SAP-Systeme automatisiert nach bekannten Schwachstellen durchsucht und die Ergebnisse in einem tabellarischen Bericht aufgelistet, ohne diese jedoch einer Bewertung zu unterziehen. Ein Schwachstellen-Scan erkennt Probleme wie fehlende Patches und veraltete Protokolle, Zertifikate und Dienste. Regelmäßige Scans sind in periodischen Abständen notwendig, um die Sicherheit generell zu gewährleisten. Ein Security & Compliance Audit ist eine umfassende und formelle Überprüfung der Sicherheit von Systemen und sicherheitsrelevanten Prozessen eines Unternehmens auf Basis eines Schwachstellenscans, allerdings mit Bewertung der Ergebnisse im Kontext der jeweiligen Systemumgebung und Bereinigung um »False Positives«. Die resultierenden Handlungsempfehlungen zur Absicherung der Systeme sind wesentlich detaillierter und tiefgreifender. Zwingend zu empfehlen sind Audits als Erstvorbereitung und nach Abschluss von Härtungsmaßnahmen sowie im Rahmen einer System- oder Plattformmigration.
Ein Penetrationstest versucht hingegen, Schwachstellen aktiv auszunutzen, ein Vorgehen, das sowohl fundiertes Fachwissen als auch Werkzeuge aus verschiedenen Bereichen erfordert. Das zentrale Ziel eines Pentests ist, unsichere Geschäftsprozesse, fehlerhafte Sicherheitseinstellungen oder andere Schwachstellen zu identifizieren, die ein Angreifer ausnutzen könnte. Penetrationstests sollten sinnvollerweise von einem externen Anbieter mit hoher Expertise durchgeführt werden. Dies gewährleistet eine objektive Sichtweise und vermeidet Interessenkonflikte.
Mit Experten Schwachstellen identifizieren, bevor andere sie entdecken Sinnvoll ist daher, auf die Unterstützung externer Spezialisten wie Pathlock zu setzen. Diese bieten neben Compliance und Security Consulting auch IT-Expert:innen mit dem nötigen Know-how, um Schwachstellen zu identifizieren, gleich eine Reihe automatisierter Bedrohungserkennungs-Lösungen. Die eingespielte Unterstützung durch Expertise und Software aus einer Hand ermöglicht hier die größte Effizienz und geringste Fehlertoleranz, um Systeme mit der bestmöglichen Strategie abzusichern. Echtzeiterkennung und Dashboards für Entscheider Ein ganzheitlicher Überblick über die aktuelle Risikosituation und die Informationsdarstellung bedeutet für immer mehr Unternehmen eine Herausforderung. Benötigt werden Management-Views auf die aktuelle Risikolage und deren Änderungen im zeitlichen Verlauf ebenso wie detaillierte Hilfestellungen für anschließende Maßnahmen. Piyush Pandey betont, es sei elementar, dass »CEOs die Bedrohungslage und die finanziellen und geschäftlichen Folgen von Sicherheitsverstößen verstehen«, und folgert: »Einen entscheidenden Vorteil bietet hier ein Executive Dashboard.« Dessen Fokus liegt auf der ganzheitlichen Betrachtung regelmäßiger, punktueller Parameter-Prüfungen sowie auf der Bedrohungserkennung in Echtzeit.
Ein Executive Security Dashboard kombiniert die wesentlichen Ergebnisse aus Bedrohungserkennung und Schwachstellen-Management, um den gesamtheitlichen Sicherheitskontext auf Managementebene auf einen Blick erfassbar zu machen. Denn ein Entscheider muss nicht bis ins kleinste Detail informiert sein, er erhält stattdessen High-Level-Informationen: Gibt es ein Problem und wie gravierend ist es? Wer ist Ansprechpartner, damit die Problemlösung in Gang gesetzt wird? So können Verantwortliche mit geringstmöglichem Aufwand informierte und fundierte Entscheidungen treffen und deren Umsetzung unmittelbar in die Wege leiten. 2024: »Gesunde Paranoia« und Verantwortung Sind all diese Maßnahmen wirklich nötig, um sich für 2024 zu wappnen? Oft begegnen Security-Spezialist:innen einer Laissez-faireHaltung der Unternehmen. Ralf Kempf, CTO von Pathlock Deutschland, hat darauf eine klare Antwort: »Über das vermeintliche Paranoia-Denken als Berufskrankheit schmunzeln so manche und spotten, was wir Sicherheitsberater:innen uns vorstellen, passiere alles nicht. Ich antworte dann, stimmt, alle Erfahrung zeigt: Es kommt noch viel schlimmer, als wir uns das vorstellen.« Nicht zuletzt deshalb betont auch Innenministerin Nancy Faeser im Lagebericht: »Nur wer mögliche Gefahren kennt und erkennt, ist in der Lage, richtige Entscheidungen zu treffen und geeignete Maßnahmen zu ergreifen, um sich und andere zu schützen. Das ist für unsere digitale und damit öffentliche Sicherheit fundamental.« Pathlock ist der führende Security & GRC Spezialist für SAP und hybride ITSysteme. Mit 500 Mitarbeitenden an 15 Standorten weltweit beraten sie mehr als 1200 Kunden. Pathlock verbindet umfassende Software, hohe Expertise und etablierte Best-Practice-Methoden für den Schutz geschäftskritischer Applikationen, Daten und Prozesse. So unterstützen sie Unternehmen mit SAP ERP, S/4HANA, Cloud- oder Multi-Vendor-Systemen bei der Erkennung von Anomalien, Hackerangriffen, Manipulationen oder Datendiebstahl.
E I N E P U B L I K AT I O N VO N S M A RT M E D I A
12 IDENTITÄTSDIEBSTAHL
FOKUS.SWISS
Sponsored.
Der digitale Schutzschild: Wie sich Unternehmen vor Identitäts diebstahl schützen können
Domains als digitale Festungen
98 Prozent der Unternehmensdomains sind unzureichend gegen Cyberangriffe und Identitätsdiebstahl geschützt. Bei möglichen Angriffen durch diese Lücken sind Phishingmails nur ein Teil der Gefahren. Ein professionelles Domainmanagement kann vor Angriffen auf das Unternehmen schützen.
Domains sind die Achillesfersen der digitalen Welt. 98 Prozent sind unzureichend geschützt – ein offenes Tor für Cyberkriminelle in die digitalen Festungen von Organisationen.
Von 19 000 auf Schutzmechanismen untersuchten Domains kritischer Infrastrukturen in Deutschland sind 98 Prozent unzureichend geschützt.
Daniel Strauß
»domain[in]fluencer«, Forbes Technology Council, Dozent und Speaker
D
ie Lösung liegt in einem ganzheitlichen Ansatz für ein integriertes Domain-Management, das auf drei Säulen ruht:
D
· Strategie und Organisation: Ein gut durchdachtes Regelwerk und klare Prozesse sind das Fundament jeder Domain-Strategie und gleichen der Blaupause einer Festungsanlage. · Technische Administration: Domains und DNS müssen mit der Präzision eines Uhrwerks verwaltet werden. Jeder Fehler gleicht einem offenen Tor, durch das Angreifende eindringen können. · Sicherheit und Compliance: Die Wachmannschaft überwacht die Festungsanlage mit Brand-Protection, DMARC-Analysen und Domain-Risiko-Monitoring. Was ist zu tun? Die Domains sind als strategische Assets zu verstehen und erfordern multidimensionalen Schutz. Nur so wird die digitale »Festung« uneinnehmbar.
omains sind die ersten Angriffspunkte in Unternehmen. Dabei ist die Domain das zentrale Kommunikationsmedium in der digitalen Welt und damit auch Teil der Marke und des Brandings. Die Domain ist daher die digitale Identität eines Unternehmens, die es besonders zu schützen gilt. Bei Angriffen drohen Reputationsschäden, finanzielle Verluste oder sogar Umsatzeinbussen, wenn das gesamte Unternehmensnetzwerk blockiert wird. 98 Prozent der kritischen Infrastrukturen ungeschützt Von 19 000 auf Schutzmechanismen untersuchten Domains kritischer Infrastrukturen in Deutschland sind 98 Prozent unzureichend geschützt. Bei den Tests wurden technische Eigenschaften analysiert und auf deren wirksame Umsetzung geprüft. Diese zeigten schließlich, dass es fast immer eine unsichere Stelle in der Domain gab. Dabei handelt es sich um Standards, die vom Bundesamt für Sicherheit in der Informationstechnik vorgegeben werden und deren Verletzung somit rechtswidrig ist. Zu den kritischen Infrastrukturen gehören auch Krankenhäuser, Energienetze oder der Verkehr. Einrichtungen, die besonders verletzlich und systemrelevant sind. Mögliche Risiken Spoofing ist der Missbrauch einer Domain: Dritte können mit einer einzigen Zeile Quellcode im Namen des CEO oder der IT-Abteilung E-Mails an Mitarbeitende oder Kund:innen
senden. Da diese als vertrauenswürdige Absender gelten, fallen viele darauf herein und können über Links unbeabsichtigt Viren auf ihren Computer laden. Werden solche Angriffe nicht verhindert, wälzen Unternehmen die Verantwortung auf die Mitarbeitenden ab. Oder der »man in the middle« liest unsichtbar den Mailverkehr mit und kann Nachrichten abfangen oder sogar verändert weiterleiten. Der Angriff muss aber nicht immer von außen kommen: Personen, die Zugriff auf die Domain haben, können diese ablaufen lassen, woraufhin sie abgeschaltet wird. Verheerende Folgen eines Identitätsdiebstahls Cyberangriffe bergen aber noch weitere Risiken: Ungeschützte Firmendomains können gestohlen und kopiert werden. Eine Internetseite kann so originalgetreu gestaltet werden, dass außer einer kleinen Änderung in der Domain kein Unterschied erkennbar ist. Zudem kann die gefälschte Domain so gesichert werden, dass sie besser geschützt ist als das Original und damit noch vertrauenswürdiger wirkt. Betrachtet man die Situation bei Banken oder Sparkassen, zeigt sich die Gefahr für Kund:innen, wenn ihre Institution einen mangelhaften Schutz aufweist. Eine Phishingmail kann diese auf eine täuschend echt wirkende, gefälschte Website weiterleiten und so Zugriff auf die Kontodaten und damit auf das Vermögen erlangen. Ein solcher Angriff kann für ein Finanzinstitut einen schweren und nachhaltigen Schaden bedeuten.
Schutz vor Cyberkriminellen Unternehmen können sich vor all diesen Risiken schützen, indem sie ihre Domains angemessen sichern und verwalten. Schließlich bedeutet bereits der Schutz einer Adresse einen potenziellen Mehraufwand für Cyberkriminelle, denn Schutzmechanismen wirken wie Wachpersonal vor einem Haus. Phishingmails lassen sich verhindern, indem man festlegt, welcher Server mit der eigenen Domain senden darf oder indem man eine automatische Signatur an die Mail anhängt, die der Empfänger oder die Empfängerin entschlüsseln kann. Aber auch die Adresse selbst sollte geschützt werden. Hat eine Adresse die Endung «.com» können Cyberkriminelle die gleiche Adresse mit «.net» registrieren und in ihrem Namen Mails versenden. Eine rechtzeitige Absicherung verschiedener Schreibweisen, auch in anderen Ländern, kann einem Unternehmen in Zukunft viel Ärger ersparen. Wie Domain-Management Nachhaltigkeit fördert Eine verschickte E-Mail verursacht rund vier Gramm Kohlendioxid. Wenn man bedenkt, dass täglich 300 Milliarden Mails verschickt werden, entstehen allein durch den Mailverkehr täglich 1,25 Millionen Tonnen CO2. 15 Prozent aller Mails kommen bei den Empfänger:innen gar nicht erst an oder landen im Spam-Ordner. Mit einem erfolgreichen Domainmanagement könnten also bis zu 180 000 Tonnen Emissionen eingespart werden. Verlorene Mails bedeuten zudem Zeitverlust und lästigen Mehraufwand für alle Beteiligten, entgangene Umsätze und mögliche Reputationsschäden. All dies hätte durch einfache Maßnahmen leicht vermieden werden können. Text Cedric Keiser
BRANDREPORT • NICMANAGER
Wie testet man die Sicherheit der eigenen Domain? Die gesetzlichen Cybersicherheitsstandards werden immer strenger, weshalb schlecht geschützte Systeme eines Unternehmens auch (straf-)rechtliche Schwierigkeiten bringen können. Durch ein mit wenig Aufwand installierbares Domain-Risikomanagement können allgegenwärtige Gefahren abgewehrt und schwerwiegende Probleme im Tagesgeschäft eines Unternehmens vermieden werden.
n
icmanager bietet Corporate-DomainManagement-Lösungen an. Der Domainverwalter unterstützt Unternehmen bei der Umsetzung von Cybersecurity und bei der Lösung von E-Mail-Zustellbarkeitsproblemen. Darüber hinaus bietet nicmanager als einziger Domain-Registrar in Deutschland Risikomonitorings und DSGVO-konforme DMARCReport-Analysen (Domain-based Message Authentication, Reporting & Conformance). Mittlerweile werden über 400 000 Domains für Kund:innen aus jeglichen Branchen verwaltet.
zur zentralen Verwaltung und Überwachung des gesamten Domainportfolios. Präventiv und im Falle eines Cyberangriffs steht nicmanager mit Krisenmanagement zur Seite, um den Schaden zu minimieren und die Kontrolle zurückzugewinnen.
nicmanager bietet umfassenden Service Ob Start-up, KMU oder Großunternehmen – nicmanager verfügt über die notwendige Infrastruktur und das Know-how, schnell wirksame Lösungen umzusetzen. Der Domainspezialist bietet strategische Beratung und erweitertes DNS-Management an. Unternehmen erhalten Tools und Trainings
Auszeichnungen unabhängiger Juror:innen unterstreichen die außergewöhnliche Arbeit der Domainexpert:innen: 2012 wurde nicmanager zum Gewinner des Hosting & Service Provider Awards gekürt und 2022 erhielt er die Auszeichnung «Top 100 Siegel eines der innovativsten Unternehmen Deutschlands».
Mittlerweile werden über 400 000 Domains für Kund:innen aus jeglichen Branchen verwaltet. Mit Onlinekurs selbst zu Expert:innen werden Aufgrund der großen Nachfrage nach Schulungen hat nicmanager einen Onlinekurs entwickelt, in dem sich IT-Mitarbeitende von Unternehmen in nur fünf Stunden umfangreiches Wissen zu Domaingefahren und E-Mail-Zustellbarkeit aneignen können. In diesem Kurs mit Zertifikat wird die eigene Domain gleich als Übungsobjekt gegen verschiedene Gefahren abgesichert. Eigene Domain kostenlos testen Über den QR-Code kann die eigene Domain
kostenlos auf bestehende Risiken getestet werden. Als Ergebnis erhält man einen Bericht mit detaillierten Angaben zu aktuellen Risiken und notwendigen Maßnahmen. Ab einem «DomainSecurityScore» ab 80 sind die wesentlichen IT-Grundschutzmaßnahmen erfüllt, darunter besteht Handlungsbedarf. www.domainsecurity.de
E I N E P U B L I K AT I O N VO N S M A RT M E D I A
#SMARTIT&SICHERHEIT
K-BUSINESSCOM AG • BRANDREPORT 13
Für Cybersicherheit ist der »Faktor Mensch« entscheidend Gegen die moderne Cyberkriminalität stehen viele Unternehmen auf verlorenem Posten. Denn mit eigenen IT-Mitteln ist dieser Situation kaum beizukommen. Glücklicherweise bietet K-Businesscom AG mit dem Cyber Defense Center die Möglichkeit, Cybersicherheit als Dienstleistung zu beziehen.
Daniel Firulovic
Head of Business Development Security, K-Businesscom AG
E
in in die Jahre gekommener Server, historisch gewachsene Softwareerweiterungen sowie eine eher lückenhafte IT-Dokumentation. In vielen Unternehmen im DACH-Raum ist die IT-Security nicht die allerneuste und genoss auch lange Zeit nicht höchste Priorität. »Das ist auch absolut verständlich«, erklärt Daniel Firulovic, Head of Business Development Security bei K-Businesscom AG. Doch leider stellen solche Firmen heute für Hacker äußerst attraktive Ziele dar. Die K-Businesscom AG hat es sich daher zur Aufgabe gemacht, Firmen aller Branchen und Größen bei der Digitalisierung zu unterstützen und sie hinsichtlich Cybersecurity fit für die Zukunft zu machen. Eine Schlüsselrolle spielt das »Cyber Defense Center«: Hier handelt es sich um einen von K-Businesscom betriebenen Securityservice, der im Dienste der Kunden Attacken aus dem Web abwehrt. Der Clou dabei: »Unsere Kundenfirmen können sich
auf ihr Kerngeschäft und den IT-Betrieb konzentrieren, denn sie beziehen ihre Cybersecurity von uns als Dienstleistung.« Menschliche Expertise Die Dienstleistung des Cyber Defense Centers besteht aus drei Teilen: Den ersten machen die Technologien und Produkte aus, mit denen die Fachleute von K-Businesscom Daten aggregieren. Darauf folgen die Prozesse: 65 Analysten werten die Daten aus und identifizieren so
mögliche Bedrohungsszenarien frühzeitig. Darauf folgt die Kontaktaufnahme mit dem Kunden sowie die Handlungsanweisung. »Auf diese Weise können wir den Betrieben die Sicherheitsthematik vollumfänglich abnehmen, was bei ihnen Ressourcen für andere Aufgaben freimacht«, betont der Business-Development-Leiter. Gleichzeitig steigt der Schutzgrad des Unternehmens enorm an. Und weil beim Cyber Defense Center menschliche IT-Analysten und nicht nur KI-Programme für das
Bei K-Businesscom fördert man hingegen den regen Austausch zwischen den Teams, was dazu führt, dass neue Erkenntnisse gewonnen werden – die sich direkt zum Wohle der Kunden einsetzen lassen.
Monitoring und die Alarme zuständig sind, ist eine hohe Präzision bei wenig Fehlalarmen sichergestellt. »Wir setzen bewusst auf den Faktor Mensch, da wir der Überzeugung sind, dass dort, wo ein Mensch angreift, auch ein Mensch verteidigen sollte.« Diese Philosophie kommt ebenfalls beim sogenannten »Purple Teaming« zum Tragen. Hierbei testet man die Sicherheit eines Systems durch gezielte Hackerangriffe auf mögliche Schwachstellen und leitet sofort neue Verteidigungsmethoden ab. In anderen Unternehmen werden Angriff und Vereidigung von separaten Teams durchgeführt, die sich untereinander nicht austauschen. »Dadurch gehen wichtige Learnings verloren«, sagt Firulovic. Bei K-Businesscom fördert man hingegen den regen Austausch zwischen den Teams, was dazu führt, dass neue Erkenntnisse gewonnen werden – die sich direkt zum Wohle der Kunden einsetzen lassen. Weitere Informationen unter cdc.k-business.com
© Evelyn Fey/action medeor
ANZEIGE
Eine Spende ist das schönste Geschenk! Aktion Deutschland Hilft leistet Nothilfe nach schweren Katastrophen und hilft Familien, sich besser zu schützen. Erdbebensicheres Bauen rettet Leben. Getreidespeicher wappnen gegen Hunger. Und Hygieneprojekte bekämpfen Krankheiten und Seuchen. Das verhindert Leid, noch bevor es geschieht. Helfen Sie jetzt – mit Ihrer Spende zu Weihnachten! Spendenkonto: DE62 3702 0500 0000 1020 30 Jetzt Förderer werden: www.Aktion-Deutschland-Hilft.de
E I N E P U B L I K AT I O N VO N S M A RT M E D I A
14 MIT »PROGRAMM P20« IN DIE ZUKUNFT
FOKUS.SWISS
Dein KI-Freund und Helfer Sonderermittlerin KI statt Kommissar Zufall: Auch die Polizei kann Unterstützung durch generative künstliche Intelligenz gut gebrauchen. Aber wie verlässlich sind die gelieferten Antworten und konkreten Einsatzmöglichkeiten? Der internationale Cloud-, KI- und Security-Dienstleister Eviden hat die Zukunft generativer KI-gestützter Polizeiarbeit getestet und analysiert.
D
Sachbearbeitung und Ermittlung In der Tat stellen die Anwendungsmöglichkeiten generativer KI auch die Polizei- und Ermittlungsarbeit vor einige Herausforderungen. Denn natürlich sollen Daten schnell verfügbar sein – und dort zentral gespeichert und verarbeitet werden, wo sie wirklich sicher und nicht Spielball irgendwelcher Megakonzerne sind. Andererseits erhoffen sich die Beamten stichfeste, systematische Antworten, wenn sie Fälle und deren Daten bearbeiten oder teilen. Steve Haas war zwei Jahrzehnte Kriminalbeamter. Heute arbeitet er als Sales Director beim internationalen Next Gen Technologieführer Eviden, der bereits verschiedene KI-Anwendungen im Einsatz hat und nun die Anwendungsmöglichkeiten generativer KI für die Polizeiarbeit analysiert. »Die vielversprechendsten Anwendungsbereiche liegen hier eindeutig in den Bereichen Sachbearbeitung und Ermittlungen«, so Haas. Im Bereich der polizeilichen Sachbearbeitung könne die KI wertvolle Unterstützung durch die automatisierte Erstellung von Berichten und Zusammenfassungen bieten. KI könne grundsätzlich helfen, den Überblick zu behalten, wo beim analogen Kampf mit verschiedenen Formularen, Meldungen und Richtlinien immer wieder Fehler aufträten. Hier gebe die KI den roten Faden vor, führe Ermittlungsakten lückenlos zusammen, ohne Erkenntnisse zu verlieren oder Ursprungsdaten zu verfälschen. Bei Ermittlungen erweise
Antworten«. »Für unser Unternehmen Eviden steht fest, dass der Nutzen einer generativen KI für die polizeiliche Sachbearbeitung und insbesondere für Ermittlungszwecke maßgeblich davon abhängt, inwieweit diese KI in der Lage ist, wie ein erfahrener Polizeibeamter zu denken. Dieser Ansatz führt uns erneut zur Thematik der Erstellung von spezialisierten und auf die Polizeiarbeit angepassten Sprachmodellen. Polizeiliche Expertise muss durch eine enge Zusammenarbeit zwischen Polizeibehörden und Unternehmen Zugang zu diesen KI-basierten Systemen finden. Die polizeilichen Einrichtungen sollten sich darüber hinaus bewusst sein, dass dieses spezialisierte Wissen höchsten Schutz und Sicherheitsvorkehrungen benötigt.«
Bild iStockphoto/Vertigo3d
er Umgang mit sensiblen Personenund Falldaten kennt besonders bei der Polizei zwei Seiten. Ist man nicht direkt betroffen oder geschädigt, pocht jede:r auf Datenschutz und Privatsphäre. Ist man jedoch Opfer eines Delikts geworden, erhofft man sich von der Polizei umfassende Datenbanken und modernste Technik, die die Täter möglichst schnell dingfest machen. Dass auch die Polizei bestimmte Personendaten anonymisieren oder konkrete Anordnungen jederzeit nachvollziehbar begründen muss, führt dann immer wieder zu erstaunten Gesichtern. Nix mit »CSI: Miami« bei der Dienststelle an der Ecke?
In der Tat stellen die Anwendungs möglichkeiten generativer KI auch die Polizei- und Ermittlungsarbeit vor einige Herausforderungen. sich generative KI als ein nützliches Tool zur Beantwortung zentraler Was- und Wie-Fragen. Und natürlich lasse sich auch aus anderen vergleichbaren Fällen sehr viel lernen und in aktuelle Fälle und Ermittlungen miteinbeziehen. Ein Testfall für die generative KI Als Testfall konstruierte Eviden unter anderem einen fiktiven Einbruch bei einem Juwelier – und übertrug »die assoziierten Dokumente zum Vorgang in zeitlicher Abfolge und damit die verbundenen Ermittlungsschritte zur Aufklärung des Vorfalls« in eine für eine KI verständliche Form. Dazu wurden die polizeilichen Vorgangsdaten in sogenannte »embeddings« überführt,
die von einem Large-Language-Modell (LLM) verarbeitet werden können. »Um die Vergleichbarkeit sicherzustellen, haben wir vier verschiedene generative KI-Modelle implementiert und miteinander verglichen. Im Anschluss wurden allen Modellen 39 Fragen gestellt, die ein Polizeibeamter einem anderen Polizeibeamten stellen würde. Diese Fragen stellt er nun in einem KI-Polizei-Chat. Die Antworten wurden umfassend analysiert und die KI-Modelle in ihrer Gesamtheit wiederholt optimiert.« Beim Vergleich der Antworten der vier KI-Modelle gab es laut Haas eine Reihe »faszinierender, überraschender und lehrreicher
Vor allem die mangelnde Transparenz von KI könne die Akzeptanz bei der Polizei massiv beeinträchtigen. Polizistinnen und Polizisten bräuchten jedoch nachvollziehbare Entscheidungen, da sie jede Aktion begründen müssten. Generative künstliche Intelligenz brauche deshalb klare, fehlerlose Vorgehensweisen und Schlussfolgerungen. Sie müsse aufzeigen können, wie sie bei der Beantwortung von Fragen vorgegangen ist. Hierzu gebe es erste gute Lösungsansätze. Deshalb, so Haas, sei ein breiterer Einsatz von KI vielversprechend und nur noch eine Frage der Zeit. »Durch die geschickte Kombination verschiedener Modelle und die Anpassung an die spezifischen Bedürfnisse und Anforderungen der Polizei könnten potenziell effizientere Lösungen entstehen.« Die Möglichkeit zur lokalen Implementierung von KI, etwa »on premise«, sei hierbei der entscheidende Faktor für mehr Sicherheit und Effizienz. Und so kann es sein, dass in naher Zukunft die Polizeibeamtin in einem komplizierten Fall eine KI nach einer Einschätzung, den nächsten Schritten oder den Erfahrungen aus vergangenen Fällen befragt – und schon nach wenigen Antworten feststellt: »Hey, danke, gute Idee!« Text: Rüdiger Schmidt-Sodingen
PUBLIREPORTAGE
Sichere Anmeldung und Zugriff auf Unternehmensdaten Kompromittierte Anmeldedaten sind für bis zu 80% aller Sicherheitsvorfälle in Unternehmen verantwortlich. Eine Multi-Faktor-Authentisierungslösung ohne Passwort schafft Abhilfe.
I
m heutigen digitalen Zeitalter ist die Sicherheit von Unternehmensdaten von entscheidender Bedeutung. Die Verwendung von Kennwörtern als primärer Sicherheitsmechanismus ist jedoch ein sehr riskantes Unterfangen. Diese Tatsache erfordert einen Paradigmenwechsel in der Art und Weise, wie wir Zugangssicherheit betrachten.
SystoLOCK ist die Antwort auf diese Herausforderungen. Mit seiner fortschrittlichen kennwortlosen MultiFaktor-Authentisierung (MFA) bietet es mehrere Sicherheitsebenen, die selbst die geschicktesten Hacker in die Knie zwingen. Aber das ist noch nicht alles. SystoLOCK geht noch einen Schritt weiter und macht Kennwörter komplett überflüssig.
Die innovative Multi-Faktor-Authentisierungslösung für Windows-Domänen on-premises geht über die traditionelle Kennwort-basierte Sicherheit hinaus und bietet einen umfassenden Schutzmechanismus, um Ihr Unternehmen vor potenziellen Gefahren zu schützen.
SystoLOCK ist die einzige kennwortlose Multi-FaktorAuthentisierungslösung Made in Germany, die dank ihrer patentierten Innovation robuste Penetrationstests bestanden und Preise gewonnen hat.
Die Risiken bei der Verwendung herkömmlicher Kennwörter sind vielfältig. Von Sicherheitslücken, die durch schwache Passwörter entstehen, bis hin zu raffinierten Phishing-Angriffen, die selbst die sorgfältigsten Sicherheitsmaßnahmen umgehen können, sind Unternehmen einer ständigen Bedrohung ausgesetzt, die nicht unterschätzt werden darf. Identitätsdiebstahl, ein Szenario, das niemand erleben möchte, wird durch kompromittierte Zugangsdaten zur traurigen Realität.
Mehr Info unter SystoLOCK.de
E I N E P U B L I K AT I O N VO N S M A RT M E D I A
FOKUS.SWISS
KRISENMANAGEMENT 15
Gesucht: Das beste Worst-Case-Szenario
T
hink positive. Das war einmal. Mit immer neuen Krisen, die Unternehmen kurz- und mittelfristig lahmlegen können, haben sich auch die Anforderungen ans Management und die Mitarbeitenden geändert. Wer sich nicht aktiv darum kümmert, Krisen vorauszusehen und durchzuplanen, kann vielleicht Frühstücksdirektor:in werden, aber nicht Unternehmenslenker:in. Was aber ist der Schlüssel für ein besseres Krisenmanagement und Krisen-Mindset? Und inwiefern kommt eine aktive Krisenvorsorge den Wünschen einer krisengebeutelten Generation Y oder Z entgegen, die als richtigen Job nur ansieht, was sich tagtäglich hinterfragen, mit der außenstehenden Welt verbinden und aktiv verbessern lässt?
Krise üben, Widersprüche zulassen In ihrem Beitrag »Vom Paradox zur Resilienz in der Krise« für die Zeitschrift Gruppe. Interaktion. Organisation. (Springer 2021) erklärt Dr. Jennifer L. Sparr, Dozentin an der ZHAW School of Management and Law im schweizerischen Winterthur, wie wichtig ein »paradoxes Mindset« ist, das dem Gefühl der Überwältigung und Ohnmacht in einer Krise entgegenarbeite. »Personen mit einem paradoxen Mindset nutzen die scheinbar widersprüchlichen, aber miteinander verbundenen
Anforderungen, um ein besseres Verständnis der Situation zu erhalten. Sie sehen den erfolgreichen Umgang mit diesen Widersprüchen als Weg zum Erfolg.« Wer Herausforderungen mit Gelegenheiten verknüpfen könne, habe einen enormen Vorteil – und könne auch wieder Sinn in schwierigen Situationen herstellen. Sparr betont dabei auch die Wichtigkeit, das bisherige »Entweder oder« des Wirtschaftsbetriebs – »entweder wir gewinnen oder die anderen« – einzugrenzen oder sogar ganz abzuschaffen. Nur ein »Sowohl-als-auch«Prinzip könne in Krisen Erfolg haben und lasse neue, integrative Überlegungen zu. En passant spielt Sparrs Krisentipp auch auf die neuen Wertegedanken und -forderungen der jungen Generation an, die eine über die Grenzen des einzelnen Produktions- oder Dienstleistungsbetriebes sinnvolle und nachhaltige Arbeit wünscht. Diese Wünsche gipfeln in einer Frage, die so längst als unsichtbarer Elefant in jedem Personalbüro steht, wenn ein Jobaspirant im Grunde feststellt: »Es geht hier nur um den Gewinn des einzelnen Unternehmens, in dem ich arbeite? Nein, das ist mir zu wenig.« Dieser Wunsch nach übergreifendem Sinn und der Zusammenführung verschiedener Denkweisen bestimmt dann auch das Krisenmanagement, das sich den
Bild iStockphoto/Delmaine Donson
Das Ausklammern schlechter Gedanken oder gar Bedenken galt jahrelang als Job-Voraussetzung. Mit immer neuen Krisen hat sich der Wind nun gedreht. Nur wer Krisen vorausplant, kann angstfrei weiterarbeiten und ein Unternehmen am Laufen halten. Besonders gefragt: eine neue Lust am Widerspruch.
zentralen Wertvorstellungen und Wünschen anderer Menschen außerhalb des Unternehmens öffnen muss. Womit der Lerngedanke ins Spiel kommt. Nur wer immer weiter lernen will, auch und gerade in der Krise, wo dies sicherlich besonders schwerfällt, kann Krisen wirklich von allen Seiten eindämmen oder für sich im unmittelbaren Arbeitsumfeld lösen. Gefragt, so Sparr, seien kreative, komplexe und vor allem auch gemeinsame Ansätze. »Letztendlich kann die gemeinsame, kreative Auseinandersetzung mit Paradoxen nicht nur in der bestehenden Krise zu hilfreichen Sowohl-als-auch- Ansätzen führen, sondern auch dazu beitragen, gemeinsam zu lernen, um zukünftige Krisen zu verhindern oder abzumildern – ein wichtiger Aspekt und Erfolgsindikator von gelungenem Krisenmanagement.«
Lern- statt Abwärtsspirale Sparr zitiert Sebastian Raisch, Timothy J. Hargrave und Andrew H. van de Ven, die 2018 im Journal of Management Studies das Wort der »Lernspirale« verwendeten, mit der sich Organisationen bewusst »durch Phasen der Konvergenz und Divergenz bewegen«. Während sich Organisationen einerseits den aktuellen Weltanschauungen und Wertedebatten stellen, gehen sie andererseits »über das dynamische Gleichgewicht hinaus, um ein
besseres Verständnis für Spannungen und deren Bewältigung zu erlangen. Während Organisationen, die sich im Gleichgewicht befinden, anfällig für Stillstand und Untergang sind, können Organisationen, die über das Gleichgewicht hinausgehen, Nachhaltigkeit erreichen.« Sparr macht aus der Lernspirale sogar eine »Aufwärtsspirale«, mit der sich Unternehmen und deren Gruppen durch Kommunikation und Wertschätzung buchstäblich aus Krisen nach oben drehen könnten. Im Krisenmanagement könne »jede und jeder einen Beitrag durch das Stellen von Sowohl-als-auch-Fragen leisten, Spannungsfelder akzeptierend thematisieren und durch das eigene Verhalten als Rollenvorbild dienen. Für eine resiliente Organisation ist es wichtig, ihre relevanten Stakeholder zu kennen und mit ihnen im offenen Austausch zu sein.« Krisenmanagement müsse dazu akzeptieren, dass es nicht den einen Weg gebe, sondern viele verschiedene, um ans Ziel zu kommen. Auch das dürfte die alte »Nur so wirds gemacht«-Haltung, wie sie jahrzehntelang in Unternehmen von oben nach unten sickerte, noch einmal deutlich erschüttern. Nur eine oder einer weiß Bescheid? So lässt sich keine Krise meistern. Und wahrscheinlich auch kein neues Personal mehr finden. Text Rüdiger Schmidt-Sodingen ANZEIGE
Mehr entdecken auf
fokus.swiss
#smartsicherheit